訪問漏洞細節:
https://bugs.chromium.org/p/project-zero/issues/detail?id=2096
這包括高通Adreno GPU驅動、微軟Windows、蘋果macOS等當中存在的漏洞。現在,它公開披露瞭Windows中的一個安全漏洞,如果被人利用,會導致權限提升。
谷歌 "零號項目 "安全人員表示,惡意進程可以向splwow64.exe Windows進程發送本地過程調用(LPC)消息,攻擊者可以通過它向splwow64內存空間中的任意地址寫入任意值。這本質上意味著攻擊者控制瞭這個目標地址和任何被復制到該地址的內容。
這個漏洞並不完全是新的。事實上,卡巴斯基的一位安全研究人員在今年早些時候就報告瞭這一問題,微軟早在6月份就打瞭補丁。不過,這個補丁現在已經被Google Project Zero的Maddie Stone認定為不完整,他表示,微軟的修復隻會改變指向偏移量的指針,這意味著攻擊者仍然可以使用偏移量值來攻擊它。
9月24日,Google Project Zero私下向微軟報告瞭零日的情況,標準的90天期限將於12月24日到期。微軟最初計劃在11月發佈修復程序,但該發佈時間段隨後滑落到12月。之後,它告訴谷歌,它在測試中發現瞭新的問題,現在它將在2021年1月發佈一個補丁。
12月8日,雙方開會討論瞭進展和下一步的計劃,其中確定不能向微軟提供14天的寬限期,因為該公司計劃在2021年1月12日的補丁周二發佈補丁,比寬限期多出6天。Project Zero團隊計劃在明年再次重新審視政策,但已經公開披露瞭該漏洞與概念驗證代碼。技術報告還不清楚這影響到哪些版本的Windows,但卡巴斯基幾個月前的報告顯示,攻擊者一直在利用它來攻擊新版本的Windows10。
留言列表
