谷歌“圣誕禮物”:發現Windows 10 中高嚴重度的權限提升漏洞的概念驗證代碼
外媒 MSPoweruser 報道,谷歌的 Project Zero 團隊發布了 Windows 10 中一個高嚴重度的權限提升漏洞的概念驗證代碼。
獲悉,該漏洞涉及 splwow64.exe Windows 進程,谷歌發現一個惡意進程可以向 splwow64.exe 發送本地過程調用(LPC)消息,攻擊者可以通過該消息向 splwow64 的內存空間中的任意地址寫入一個任意值。
事實上,微軟在今年 6 月份已經修補了這個缺陷,但谷歌表示微軟的補丁是不完整的。微軟顯然已經將指針改為偏移值,這意味著仍然可以利用偏移值進行攻擊。
谷歌在今年 9 月 24 日向微軟披露了這個問題,在錯過了 11 月的周二補丁后,微軟沒有在 90 天內打上補丁,導致了谷歌向外界進行披露。
關于該漏洞的細節可以在谷歌 Project Zero 博客上找到。微軟目前計劃在 2021 年 1 月 12 日修補該漏洞。
責任編輯:PSY
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
谷歌
+關注
關注
27文章
6254瀏覽量
111366 -
WINDOWS
+關注
關注
4文章
3702瀏覽量
94006 -
漏洞
+關注
關注
0文章
205瀏覽量
15955 -
權限
+關注
關注
0文章
13瀏覽量
7472
發布評論請先 登錄
相關推薦
熱點推薦
curl中的TFTP實現:整數下溢導致堆內存越界讀取漏洞
漏洞概述
在 curl 的 TFTP 協議實現中發現了一個漏洞,該漏洞可能導致 curl 或使用 libcurl 的應用程序在特定條件下,向惡意的 TFTP 服務器發送超出已分配內存塊
發表于 02-19 13:55
平安夜不被@,IT 人的圣誕“代班神器”
又到圣誕季。到處是圣誕的氣息,所有人的心思都飛向了聚會和禮物。除了——IT部門的你。你的圣誕愿望清單上,寫的不是香水、球鞋...而是:“求系統安分點!求警報別亂響!求能安心過完一次平安
愛立信與Ooredoo Qatar成功完成Automated Energy Saver概念驗證
愛立信與Ooredoo Qatar近日成功完成Automated Energy Saver功能概念驗證(PoC),展示了愛立信5G Advanced Energy Efficiency and Management愛立信軟件解決方案。
分析嵌入式軟件代碼的漏洞-代碼注入
及其后代衍生產品)很不擅長發現這樣的漏洞,因為想要實現精確的查找漏洞就需要完成整個程序的路徑敏感分析。
提升嵌入式代碼的分析工具
最近出現的
發表于 12-22 12:53
Termux中調試圣誕樹Python代碼
在Termux中調試Python代碼(以圣誕樹立例)非常簡單,核心分為環境準備、代碼編寫、運行調試三個步驟,下面一步步教你操作:
一、環境準備(首次使用需做)
Termux默認可能沒有Python
發表于 12-09 09:02
ZeroNews basic auth policy: 0代碼為你的HTTP站點追加安全可控的基本權限驗證能力
basic auth (基本權限驗證)是HTTP標準協議在 RFC 7235 條中定義的一層基本權限控制規范,當外部請求訪問設定了basic auth 規則的站點或者url時,會強制要求輸入指定
行業觀察 | Windows 10于本月終止服務支持,微軟發布10月高危漏洞更新
已被實際利用的零日漏洞,以及多個CVSS評分高達9.9的關鍵遠程代碼執行漏洞。隨著Windows10于本月終止服務支持,IT團隊面臨關鍵的更新周期,需重點關注身份認
行業觀察 | 微軟發布高危漏洞更新,涉及 Windows、Office、SQL Server 等多款產品
漏洞被評級為“嚴重”。企業應優先部署Windows10/11累積更新和SQLServer相關補丁,并檢查SMB設置。漏洞類型分布-41個權限
行業觀察 | Azure、RDP、NTLM 均現高危漏洞,微軟發布2025年8月安全更新
-CVE-2025-53779:WindowsKerberos漏洞,允許攻擊者將權限提升至域管理員。?13個嚴重漏洞:-9個遠程
行業觀察 | VMware ESXi 服務器暴露高危漏洞,中國1700余臺面臨勒索軟件威脅
8.x版本,允許未經身份驗證的遠程攻擊者在虛擬環境中執行任意代碼、提升權限或傳播勒索軟件等。更令人擔憂的是,該漏洞利用難度極低,且相關利用
Linux權限管理基礎入門
在Linux的廣闊天空中,權限管理猶如一只翱翔的雄鷹,掌控著系統的安全與秩序。掌握Linux權限,不僅能讓你的系統管理更加得心應手,還能有效防止未授權訪問和數據泄露。本文將帶你深入探索Linux權限的奧秘,助你成為
小程序開發必須知道的5個技巧:提升效率與用戶體驗的權威指南
重復網絡請求,提升離線體驗。
四、
安全漏洞可能導致用戶數據泄露甚至法律風險。
數據加密:敏感信息(如支付憑證)需通過HTTPS傳輸,并采用AES等算法加密存儲。
權限控制:嚴格限制API調用
發表于 03-14 14:51
設備管理系統新范式:區塊鏈存證+動態權限管理
企業面對數字化轉型挑戰,設備管理面臨安全與靈活性問題。傳統設備管理方案漏洞頻出,數據易遭篡改,權限管理僵化。企業需構建區塊鏈存證+動態權限管理方案,提升設備管理可信度、靈活性與效率,實
工商網監
評論