首页 >> 电商巨头 > > 正文

谷歌零揭露了Windows中一个严重的安全漏洞

来源:华中热线 时间:2020-12-25 20:03:37

谷歌的零项目旨在识别公司自己的软件和其他公司软件中的漏洞,并私下向供应商报告,在公开披露之前,他们将有90天的时间修复这些漏洞。根据所需修理的复杂性,它有时以宽限期的形式提供额外的天数。在过去的几年里,谷歌的ZeroSecurity团队披露了一些安全漏洞,包括高通(Qualcomm)、微软视窗(MicrosoftWindows)、苹果(AppleMacOS)等,因为供应商未能及时修复这些漏洞。现在,它公开暴露了Windows中的一个安全漏洞,如果利用该漏洞,可能导致权限升级。

GoogleProjectZeroSecurity表示,恶意进程可以向splwow64.exewindow进程发送本地过程调用(LPC)消息,攻击者可以通过该消息向splw64内存空间中的任何地址写入任何值。这实质上意味着攻击者控制目标地址和复制到目标地址的任何内容。

这一漏洞并不是全新的。事实上,卡巴斯基的一名安全研究员今年早些时候就报告了这个问题,微软早在6月份就对此进行了修补。然而,googleprojectZero的maddestone现在已经确认该修补程序不完整,他说,微软的修补程序只会改变指向偏移量的指针,这意味着攻击者仍然可以使用偏移值攻击它。

9月24日,googleprojectZero私下向微软报告了零天,标准的90天期限将于12月24日到期。微软最初计划在11月发布修补程序,但发布时间后来滑到了12月。之后,它告诉谷歌,它在测试中发现了新的问题,现在将在2021年1月发布补丁。

12月8日,双方举行会议,讨论下一步的进展和计划,其中确定微软无法获得14天的宽限期,因为微软计划在2021年1月12日(星期二)发布补丁,比宽限期多出6天。项目零小组计划明年再次审查该政策,但公开披露了概念代码的漏洞和证据。技术报告还不知道Windows的哪些版本,但卡巴斯基几个月前的报告显示,攻击者一直在利用它攻击Windows10的新版本。

上一篇: 联想小新Pro14体验:性能改善是显而易见的!
下一篇: 最后一页