谷歌“圣誕禮物”:發現Windows 10 中高嚴重度的權限提升漏洞的概念驗證代碼
外媒 MSPoweruser 報道,谷歌的 Project Zero 團隊發布了 Windows 10 中一個高嚴重度的權限提升漏洞的概念驗證代碼。
獲悉,該漏洞涉及 splwow64.exe Windows 進程,谷歌發現一個惡意進程可以向 splwow64.exe 發送本地過程調用(LPC)消息,攻擊者可以通過該消息向 splwow64 的內存空間中的任意地址寫入一個任意值。
事實上,微軟在今年 6 月份已經修補了這個缺陷,但谷歌表示微軟的補丁是不完整的。微軟顯然已經將指針改為偏移值,這意味著仍然可以利用偏移值進行攻擊。
谷歌在今年 9 月 24 日向微軟披露了這個問題,在錯過了 11 月的周二補丁后,微軟沒有在 90 天內打上補丁,導致了谷歌向外界進行披露。
關于該漏洞的細節可以在谷歌 Project Zero 博客上找到。微軟目前計劃在 2021 年 1 月 12 日修補該漏洞。
責任編輯:PSY
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
谷歌
+關注
關注
27文章
6184瀏覽量
105793 -
WINDOWS
+關注
關注
4文章
3564瀏覽量
89106 -
漏洞
+關注
關注
0文章
204瀏覽量
15404 -
權限
+關注
關注
0文章
13瀏覽量
7286
發布評論請先 登錄
相關推薦
Code Review:提升代碼質量與團隊能力的利器
作者:京東物流 韓旭 1. 引言 Code Review(下文簡稱CR),即代碼審查,是一種通過評審代碼以發現并修正錯誤的實踐。它不是一個新概念,但在軟件開發中,它的重要性毋庸置疑。首
英諾達發布全新靜態驗證產品,提升芯片設計效率
了重要一步,將為中國芯片產業的發展注入新的活力。 靜態驗證作為一種業界普遍使用的驗證方法,通過對設計的源代碼進行深入分析,能夠發現設計中的潛在問題。與動態仿真
常見的漏洞分享
#SPF郵件偽造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 發現spf最后面跟著~all,代表有
漏洞掃描的主要功能是什么
漏洞掃描是一種網絡安全技術,用于識別計算機系統、網絡或應用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權訪問、數據泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時
CISA緊急公告:需盡快修補微軟Windows漏洞以應對黑客攻擊
在網絡安全形勢日益嚴峻的今天,美國網絡安全和基礎設施安全局(CISA)于6月14日發出了一份緊急公告,要求美國聯邦教育、科學及文化委員會下屬的各機構在短短三周內,即截至7月4日,必須修補微軟Windows 10和Windows
Git發布新版本 修補五處安全漏洞 包含嚴重遠程代碼執行風險
CVE-2024-32002漏洞的嚴重性在于,黑客可通過創建特定的Git倉庫子模塊,誘騙Git將文件寫入.git/目錄,而非子模塊的工作樹。如此一來,攻擊者便能在克隆過程中植入惡意腳本,用戶幾乎無法察覺。
Adobe修復35項安全漏洞,主要涉及Acrobat和FrameMaker
值得關注的是,Adobe對Acrobat及Acrobat Reader軟件的漏洞修復最為重視,共修復了12個漏洞,其中9個為“遠程執行代碼”嚴重漏洞
微軟確認4月Windows Server安全更新存在漏洞,或致域控問題
微軟于昨日公告,承認其 4 月份發布的 Windows Server 安全補丁存在漏洞,該漏洞可能導致 LSASS 進程崩潰,進一步引發域控制器的啟動問題。
微軟優化Windows 10月度LCU更新包,提升用戶體驗
據官方聲明,微軟于本周四宣布,將繼續優化Windows 10 Version 22H2版本的每月累積更新的容量。這是為了提升廣大用戶在使用該系統時的操作流暢度及體驗感受。
微軟英特爾聯手修復Windows 10 BUG,開啟升級通道體驗Wi-Fi
早在數年前,微軟員工便已發現Intelligent Sound Technology(SST)驅動程序存在問題,使得部分Windows 10設備在安裝后出現藍屏現象。為此,微軟曾對這些設備的W
谷歌獎勵1000萬美元發現漏洞的安全專家
值得注意的是,2023年度漏洞報告的最優獎項高達113337美元,加上自計劃啟動至今歷年累積的5.9億美元獎金,其中Android相關內容尤其顯著,更有近340萬美元的獎金熠熠生輝,用以鼓勵專家們積極研究安卓漏洞。
谷歌升級Bard AI聊天機器人為Gemini,新增Python代碼編輯功能
此外,谷歌表示,接下來數個月內,Gemini Advanced 計劃會加入更多新功能,如支持更為詳盡的上下文信息、增強多模態交互性以及完善編程功能。據谷歌公開更新,付費用戶可用 Gemini 界面直接編輯和執行 Python 代碼
NTDev實現Windows 10百秒快速安裝
開發者NTDev曾多次展現其對Windows 10和Windows 11極致精簡的技術實力,然而他們并非以實際應用為目標進行Windows系統的瘦身工作,而是以此
Windows事件日志查看器存在零日漏洞
弗洛里安指出,該漏洞無需高級用戶權限即可通過Windows 10設備使域控制器的日志服務失效。AcrosSecurity經過驗證
工商網監
評論