12月25日消息 外媒 MSPoweruser 報(bào)道，谷歌的 Project Zero 團(tuán)隊(duì)發(fā)布了 Windows 10 中一個(gè)高嚴(yán)重度的權(quán)限提升漏洞的概念驗(yàn)證代碼。

該漏洞涉及 splwow64.exe Windows 進(jìn)程，谷歌發(fā)現(xiàn)一個(gè)惡意進(jìn)程可以向 splwow64.exe 發(fā)送本地過程調(diào)用(LPC)消息，攻擊者可以通過該消息向 splwow64 的內(nèi)存空間中的任意地址寫入一個(gè)任意值。

事實(shí)上，微軟在今年 6 月份已經(jīng)修補(bǔ)了這個(gè)缺陷，但谷歌表示微軟的補(bǔ)丁是不完整的。微軟顯然已經(jīng)將指針改為偏移值，這意味著仍然可以利用偏移值進(jìn)行攻擊。

谷歌在今年 9 月 24 日向微軟披露了這個(gè)問題，在錯(cuò)過了 11 月的周二補(bǔ)丁后，微軟沒有在 90 天內(nèi)打上補(bǔ)丁，導(dǎo)致了谷歌向外界進(jìn)行披露。

關(guān)于該漏洞的細(xì)節(jié)可以在谷歌 Project Zero 博客上找到。微軟目前計(jì)劃在 2021 年 1 月 12 日修補(bǔ)該漏洞。