谷歌“圣誕禮物”:發現Windows 10 中高嚴重度的權限提升漏洞的概念驗證代碼
外媒 MSPoweruser 報道,谷歌的 Project Zero 團隊發布了 Windows 10 中一個高嚴重度的權限提升漏洞的概念驗證代碼。
獲悉,該漏洞涉及 splwow64.exe Windows 進程,谷歌發現一個惡意進程可以向 splwow64.exe 發送本地過程調用(LPC)消息,攻擊者可以通過該消息向 splwow64 的內存空間中的任意地址寫入一個任意值。
事實上,微軟在今年 6 月份已經修補了這個缺陷,但谷歌表示微軟的補丁是不完整的。微軟顯然已經將指針改為偏移值,這意味著仍然可以利用偏移值進行攻擊。
谷歌在今年 9 月 24 日向微軟披露了這個問題,在錯過了 11 月的周二補丁后,微軟沒有在 90 天內打上補丁,導致了谷歌向外界進行披露。
關于該漏洞的細節可以在谷歌 Project Zero 博客上找到。微軟目前計劃在 2021 年 1 月 12 日修補該漏洞。
責任編輯:PSY
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
谷歌
+關注
關注
27文章
6142瀏覽量
105109 -
WINDOWS
+關注
關注
3文章
3524瀏覽量
88435 -
漏洞
+關注
關注
0文章
204瀏覽量
15358 -
權限
+關注
關注
0文章
13瀏覽量
7258
發布評論請先 登錄
相關推薦
常見的漏洞分享
#SPF郵件偽造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 發現spf最后面跟著~all,代表有
CISA緊急公告:需盡快修補微軟Windows漏洞以應對黑客攻擊
在網絡安全形勢日益嚴峻的今天,美國網絡安全和基礎設施安全局(CISA)于6月14日發出了一份緊急公告,要求美國聯邦教育、科學及文化委員會下屬的各機構在短短三周內,即截至7月4日,必須修補微軟Windows 10和Windows
Adobe修復35項安全漏洞,主要涉及Acrobat和FrameMaker
值得關注的是,Adobe對Acrobat及Acrobat Reader軟件的漏洞修復最為重視,共修復了12個漏洞,其中9個為“遠程執行代碼”嚴重漏洞
微軟確認4月Windows Server安全更新存在漏洞,或致域控問題
微軟于昨日公告,承認其 4 月份發布的 Windows Server 安全補丁存在漏洞,該漏洞可能導致 LSASS 進程崩潰,進一步引發域控制器的啟動問題。
微軟優化Windows 10月度LCU更新包,提升用戶體驗
據官方聲明,微軟于本周四宣布,將繼續優化Windows 10 Version 22H2版本的每月累積更新的容量。這是為了提升廣大用戶在使用該系統時的操作流暢度及體驗感受。
谷歌獎勵1000萬美元發現漏洞的安全專家
值得注意的是,2023年度漏洞報告的最優獎項高達113337美元,加上自計劃啟動至今歷年累積的5.9億美元獎金,其中Android相關內容尤其顯著,更有近340萬美元的獎金熠熠生輝,用以鼓勵專家們積極研究安卓漏洞。
谷歌升級Bard AI聊天機器人為Gemini,新增Python代碼編輯功能
此外,谷歌表示,接下來數個月內,Gemini Advanced 計劃會加入更多新功能,如支持更為詳盡的上下文信息、增強多模態交互性以及完善編程功能。據谷歌公開更新,付費用戶可用 Gemini 界面直接編輯和執行 Python 代碼
NTDev實現Windows 10百秒快速安裝
開發者NTDev曾多次展現其對Windows 10和Windows 11極致精簡的技術實力,然而他們并非以實際應用為目標進行Windows系統的瘦身工作,而是以此
Windows事件日志查看器存在零日漏洞
弗洛里安指出,該漏洞無需高級用戶權限即可通過Windows 10設備使域控制器的日志服務失效。AcrosSecurity經過驗證
源代碼審計怎么做?有哪些常用工具
源代碼審計是一種通過檢查源代碼來發現潛在的安全漏洞的方法。
下面是常用的源代碼審計工具:
1、Fortify:通過內置的五大主要分析引擎,對
發表于 01-17 09:35
微軟2024年首個補丁周二修復49項安全漏洞,其中2項為嚴重級別
值得關注的是,編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9,可謂當之無愧的“年度最危險漏洞”。據悉,此漏洞可使黑客發動中間人攻
谷歌推出AI驅動的代碼補全和生成工具Duet AI
谷歌稱,Duet AI現在可運用上述合作伙伴的數據,協助開發者們編寫相關平臺的代碼。它還將與Datadog、JetBrains及Langchain等公司的文檔和知識資源相結合,以協助開發者的測試自動化、問題排除和漏洞修補等事宜。
如何確定FMEA中每個潛在失效模式的嚴重度?
在進行故障模式和影響分析(FMEA)時,確定每個潛在失效模式的嚴重度至關重要。通過合理地評估潛在失效模式的嚴重程度,可以為制定相關的風險控制和預防措施提供指導。下面將分享一些常用的方法來確定FMEA
指紋傳感器漏洞可在戴爾、聯想、微軟上繞過Windows Hello登錄
嵌入式指紋傳感器安全時,發現了多個安全漏洞。攻擊者利用這些漏洞可以繞過設備的 Windows Hello 指紋認證,受影響的設備包括戴爾 Inspiron、聯想 ThinkPad、微軟
工商網監
評論