外媒 MSPoweruser 報道，谷歌的 Project Zero 團隊發(fā)布了 Windows 10 中一個高嚴重度的權限提升漏洞的概念驗證代碼。

獲悉，該漏洞涉及 splwow64.exe Windows 進程，谷歌發(fā)現(xiàn)一個惡意進程可以向 splwow64.exe 發(fā)送本地過程調用（LPC）消息，攻擊者可以通過該消息向 splwow64 的內存空間中的任意地址寫入一個任意值。

事實上，微軟在今年 6 月份已經(jīng)修補了這個缺陷，但谷歌表示微軟的補丁是不完整的。微軟顯然已經(jīng)將指針改為偏移值，這意味著仍然可以利用偏移值進行攻擊。

谷歌在今年 9 月 24 日向微軟披露了這個問題，在錯過了 11 月的周二補丁后，微軟沒有在 90 天內打上補丁，導致了谷歌向外界進行披露。

關于該漏洞的細節(jié)可以在谷歌 Project Zero 博客上找到。微軟目前計劃在 2021 年 1 月 12 日修補該漏洞。

責任編輯：PSY