據外媒 MSPoweruser 報導,近日 Google 的 Project Zero 團隊公佈了一個 Windows 10 中高嚴重度的概念驗證代碼。而這個 Project Zero 團隊是專門發掘公司內 (Google) 的軟件及其他公司軟件中的漏洞,並會私下向供應商報告,並會在公開宣佈前給它們 90 日時間進行修復。
這個 Google 公佈的漏洞屬於權限提升類型,涉及 splwow64.exe 程式。研究團隊發現一個惡意程式可向 splwow64.exe 程式發送本地過程調用 (LPC) 訊息,攻擊者可以透過該訊息向 splwow64 的記憶體空間內的任何地址寫入一個任意值。事實上,Microsoft 早於今年 6 月已經修補過這個缺陷,但 Google 表示這個更新的修補並不完整。雖然 Microsoft 已將指針改為偏移值,但同時亦代表仍惡意程式仍可以利用偏移值進行攻擊。
Google 在今年 9 月 24 日已向 Microsoft 披露了這個問題,但 Microsoft 錯過了 11 月的更新後,至今已愈 90 日沒有為此修復,以致 Google 向外界進行公佈此項漏洞時,漏洞仍然存在。關於該漏洞的細節,可在 Project Zero 的 Blog 上找到。而目前 Micorsoft 將計劃於 2021 年 1 月 12 日修復此項漏洞。
