谷歌“圣誕禮物”:發(fā)現(xiàn)Windows 10 中高嚴(yán)重度的權(quán)限提升漏洞的概念驗(yàn)證代碼
外媒 MSPoweruser 報(bào)道,谷歌的 Project Zero 團(tuán)隊(duì)發(fā)布了 Windows 10 中一個(gè)高嚴(yán)重度的權(quán)限提升漏洞的概念驗(yàn)證代碼。
獲悉,該漏洞涉及 splwow64.exe Windows 進(jìn)程,谷歌發(fā)現(xiàn)一個(gè)惡意進(jìn)程可以向 splwow64.exe 發(fā)送本地過(guò)程調(diào)用(LPC)消息,攻擊者可以通過(guò)該消息向 splwow64 的內(nèi)存空間中的任意地址寫(xiě)入一個(gè)任意值。
事實(shí)上,微軟在今年 6 月份已經(jīng)修補(bǔ)了這個(gè)缺陷,但谷歌表示微軟的補(bǔ)丁是不完整的。微軟顯然已經(jīng)將指針改為偏移值,這意味著仍然可以利用偏移值進(jìn)行攻擊。
谷歌在今年 9 月 24 日向微軟披露了這個(gè)問(wèn)題,在錯(cuò)過(guò)了 11 月的周二補(bǔ)丁后,微軟沒(méi)有在 90 天內(nèi)打上補(bǔ)丁,導(dǎo)致了谷歌向外界進(jìn)行披露。
關(guān)于該漏洞的細(xì)節(jié)可以在谷歌 Project Zero 博客上找到。微軟目前計(jì)劃在 2021 年 1 月 12 日修補(bǔ)該漏洞。
責(zé)任編輯:PSY
聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。
舉報(bào)投訴
-
谷歌
+關(guān)注
關(guān)注
27文章
6203瀏覽量
106087 -
WINDOWS
+關(guān)注
關(guān)注
4文章
3581瀏覽量
89393 -
漏洞
+關(guān)注
關(guān)注
0文章
205瀏覽量
15441 -
權(quán)限
+關(guān)注
關(guān)注
0文章
13瀏覽量
7299
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
AMD與谷歌披露關(guān)鍵微碼漏洞
近日,AMD與谷歌聯(lián)合公開(kāi)披露了一個(gè)在2024年9月發(fā)現(xiàn)的關(guān)鍵微碼漏洞,該漏洞主要存在于AMD的Zen 1至Zen 4系列CPU中,特別是針對(duì)服務(wù)器/企業(yè)級(jí)平臺(tái)的EPYC CPU。 這
windows搭建ftp服務(wù)器的步驟
的Windows版本支持IIS(Internet Information Services),因?yàn)镮IS是Windows上常用的FTP服務(wù)器軟件之一。Windows 10、
Code Review:提升代碼質(zhì)量與團(tuán)隊(duì)能力的利器
作者:京東物流 韓旭 1. 引言 Code Review(下文簡(jiǎn)稱(chēng)CR),即代碼審查,是一種通過(guò)評(píng)審代碼以發(fā)現(xiàn)并修正錯(cuò)誤的實(shí)踐。它不是一個(gè)新概念,但在軟件開(kāi)發(fā)中,它的重要性毋庸置疑。首
常見(jiàn)的漏洞分享
#SPF郵件偽造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 發(fā)現(xiàn)spf最后面跟著~all,代表有
漏洞掃描的主要功能是什么
漏洞掃描是一種網(wǎng)絡(luò)安全技術(shù),用于識(shí)別計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)或應(yīng)用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來(lái)獲取未授權(quán)訪問(wèn)、數(shù)據(jù)泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時(shí)
C2000 DCSM ROM代碼片段/ROP漏洞
電子發(fā)燒友網(wǎng)站提供《C2000 DCSM ROM代碼片段/ROP漏洞.pdf》資料免費(fèi)下載
發(fā)表于 08-28 09:39
?0次下載
CISA緊急公告:需盡快修補(bǔ)微軟Windows漏洞以應(yīng)對(duì)黑客攻擊
在網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻的今天,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)于6月14日發(fā)出了一份緊急公告,要求美國(guó)聯(lián)邦教育、科學(xué)及文化委員會(huì)下屬的各機(jī)構(gòu)在短短三周內(nèi),即截至7月4日,必須修補(bǔ)微軟Windows 10和Windows
Git發(fā)布新版本 修補(bǔ)五處安全漏洞 包含嚴(yán)重遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)
CVE-2024-32002漏洞的嚴(yán)重性在于,黑客可通過(guò)創(chuàng)建特定的Git倉(cāng)庫(kù)子模塊,誘騙Git將文件寫(xiě)入.git/目錄,而非子模塊的工作樹(shù)。如此一來(lái),攻擊者便能在克隆過(guò)程中植入惡意腳本,用戶幾乎無(wú)法察覺(jué)。
Adobe修復(fù)35項(xiàng)安全漏洞,主要涉及Acrobat和FrameMaker
值得關(guān)注的是,Adobe對(duì)Acrobat及Acrobat Reader軟件的漏洞修復(fù)最為重視,共修復(fù)了12個(gè)漏洞,其中9個(gè)為“遠(yuǎn)程執(zhí)行代碼”嚴(yán)重漏洞
微軟確認(rèn)4月Windows Server安全更新存在漏洞,或致域控問(wèn)題
微軟于昨日公告,承認(rèn)其 4 月份發(fā)布的 Windows Server 安全補(bǔ)丁存在漏洞,該漏洞可能導(dǎo)致 LSASS 進(jìn)程崩潰,進(jìn)一步引發(fā)域控制器的啟動(dòng)問(wèn)題。
微軟優(yōu)化Windows 10月度LCU更新包,提升用戶體驗(yàn)
據(jù)官方聲明,微軟于本周四宣布,將繼續(xù)優(yōu)化Windows 10 Version 22H2版本的每月累積更新的容量。這是為了提升廣大用戶在使用該系統(tǒng)時(shí)的操作流暢度及體驗(yàn)感受。
微軟英特爾聯(lián)手修復(fù)Windows 10 BUG,開(kāi)啟升級(jí)通道體驗(yàn)Wi-Fi
早在數(shù)年前,微軟員工便已發(fā)現(xiàn)Intelligent Sound Technology(SST)驅(qū)動(dòng)程序存在問(wèn)題,使得部分Windows 10設(shè)備在安裝后出現(xiàn)藍(lán)屏現(xiàn)象。為此,微軟曾對(duì)這些設(shè)備的W
谷歌獎(jiǎng)勵(lì)1000萬(wàn)美元發(fā)現(xiàn)漏洞的安全專(zhuān)家
值得注意的是,2023年度漏洞報(bào)告的最優(yōu)獎(jiǎng)項(xiàng)高達(dá)113337美元,加上自計(jì)劃啟動(dòng)至今歷年累積的5.9億美元獎(jiǎng)金,其中Android相關(guān)內(nèi)容尤其顯著,更有近340萬(wàn)美元的獎(jiǎng)金熠熠生輝,用以鼓勵(lì)專(zhuān)家們積極研究安卓漏洞。
谷歌升級(jí)Bard AI聊天機(jī)器人為Gemini,新增Python代碼編輯功能
此外,谷歌表示,接下來(lái)數(shù)個(gè)月內(nèi),Gemini Advanced 計(jì)劃會(huì)加入更多新功能,如支持更為詳盡的上下文信息、增強(qiáng)多模態(tài)交互性以及完善編程功能。據(jù)谷歌公開(kāi)更新,付費(fèi)用戶可用 Gemini 界面直接編輯和執(zhí)行 Python 代碼
NTDev實(shí)現(xiàn)Windows 10百秒快速安裝
開(kāi)發(fā)者NTDev曾多次展現(xiàn)其對(duì)Windows 10和Windows 11極致精簡(jiǎn)的技術(shù)實(shí)力,然而他們并非以實(shí)際應(yīng)用為目標(biāo)進(jìn)行Windows系統(tǒng)的瘦身工作,而是以此
工商網(wǎng)監(jiān)
評(píng)論