John pan

  據外媒說，近日Google的團隊公佈一個Windows 10中高嚴重度的概念驗證代碼，Google這團隊是專門發掘Google的軟體及其它公司軟體中的漏洞，並私下向供應商報告，在公開宣佈前給它們90日時間進行修復。

  這Google公佈的漏洞屬於權限提升類型，涉及splwow64.exe程式。研究團隊發現一個惡意程式可向splwow64.exe程式發送本地過程調用 (LPC) 訊息，攻擊者可以透過該訊息向splwow64的記憶體空間內的任何地址寫入一個任意值。事實上微軟早在今年6 月已修補過這缺陷，但Google表示這更新的修補不完整。雖然微軟將程式改為偏移值，但同時惡意程式仍可用偏移值進行攻擊。

  Google在2020年9月24日已向微軟揭露這問題，但微軟錯過了11月更新，至今已愈90日沒為此修復，以致Google向外界公佈此項漏洞，漏洞仍存在。關於該漏洞的細節，可在Project Zero Blog上找到。目前微軟將計劃於2021年1月12日修復此漏洞。

來源
謝謝收看