搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內(nèi)不再提示

      谷歌“圣誕禮物”:發(fā)現(xiàn)Windows 10 中高嚴重度的權限提升漏洞的概念驗證代碼

      工程師鄧生 ? 來源:IT之家 ? 作者:騎士 ? 2020-12-25 09:49 ? 次閱讀

      外媒 MSPoweruser 報道,谷歌的 Project Zero 團隊發(fā)布了 Windows 10 中一個高嚴重度的權限提升漏洞的概念驗證代碼。

      獲悉,該漏洞涉及 splwow64.exe Windows 進程,谷歌發(fā)現(xiàn)一個惡意進程可以向 splwow64.exe 發(fā)送本地過程調(diào)用(LPC)消息,攻擊者可以通過該消息向 splwow64 的內(nèi)存空間中的任意地址寫入一個任意值。

      事實上,微軟在今年 6 月份已經(jīng)修補了這個缺陷,但谷歌表示微軟的補丁是不完整的。微軟顯然已經(jīng)將指針改為偏移值,這意味著仍然可以利用偏移值進行攻擊。

      谷歌在今年 9 月 24 日向微軟披露了這個問題,在錯過了 11 月的周二補丁后,微軟沒有在 90 天內(nèi)打上補丁,導致了谷歌向外界進行披露。

      關于該漏洞的細節(jié)可以在谷歌 Project Zero 博客上找到。微軟目前計劃在 2021 年 1 月 12 日修補該漏洞。

      責任編輯:PSY

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 谷歌
        +關注

        關注

        27

        文章

        6171

        瀏覽量

        105477
      • WINDOWS
        +關注

        關注

        4

        文章

        3551

        瀏覽量

        88807
      • 漏洞
        +關注

        關注

        0

        文章

        204

        瀏覽量

        15394
      • 權限
        +關注

        關注

        0

        文章

        13

        瀏覽量

        7282
      收藏 人收藏

        評論

        相關推薦

        常見的漏洞分享

        #SPF郵件偽造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 發(fā)現(xiàn)spf最后面跟著~all,代表有
        的頭像 發(fā)表于 11-21 15:39 ?165次閱讀
        常見的<b class='flag-5'>漏洞</b>分享

        漏洞掃描的主要功能是什么

        漏洞掃描是一種網(wǎng)絡安全技術,用于識別計算機系統(tǒng)、網(wǎng)絡或應用程序中的安全漏洞。這些漏洞可能被惡意用戶利用來獲取未授權訪問、數(shù)據(jù)泄露或其他形式的攻擊。漏洞掃描的主要功能是幫助組織及時
        的頭像 發(fā)表于 09-25 10:25 ?428次閱讀

        C2000 DCSM ROM代碼片段/ROP漏洞

        電子發(fā)燒友網(wǎng)站提供《C2000 DCSM ROM代碼片段/ROP漏洞.pdf》資料免費下載
        發(fā)表于 08-28 09:39 ?0次下載
        C2000 DCSM ROM<b class='flag-5'>代碼</b>片段/ROP<b class='flag-5'>漏洞</b>

        CISA緊急公告:需盡快修補微軟Windows漏洞以應對黑客攻擊

        在網(wǎng)絡安全形勢日益嚴峻的今天,美國網(wǎng)絡安全和基礎設施安全局(CISA)于6月14日發(fā)出了一份緊急公告,要求美國聯(lián)邦教育、科學及文化委員會下屬的各機構在短短三周內(nèi),即截至7月4日,必須修補微軟Windows 10Windows
        的頭像 發(fā)表于 06-15 14:47 ?722次閱讀

        Git發(fā)布新版本 修補五處安全漏洞 包含嚴重遠程代碼執(zhí)行風險

        CVE-2024-32002漏洞嚴重性在于,黑客可通過創(chuàng)建特定的Git倉庫子模塊,誘騙Git將文件寫入.git/目錄,而非子模塊的工作樹。如此一來,攻擊者便能在克隆過程中植入惡意腳本,用戶幾乎無法察覺。
        的頭像 發(fā)表于 05-31 10:09 ?613次閱讀

        Adobe修復35項安全漏洞,主要涉及Acrobat和FrameMaker

        值得關注的是,Adobe對Acrobat及Acrobat Reader軟件的漏洞修復最為重視,共修復了12個漏洞,其中9個為“遠程執(zhí)行代碼嚴重漏洞
        的頭像 發(fā)表于 05-16 15:12 ?742次閱讀

        微軟確認4月Windows Server安全更新存在漏洞,或致域控問題

        微軟于昨日公告,承認其 4 月份發(fā)布的 Windows Server 安全補丁存在漏洞,該漏洞可能導致 LSASS 進程崩潰,進一步引發(fā)域控制器的啟動問題。
        的頭像 發(fā)表于 05-09 16:07 ?703次閱讀

        微軟優(yōu)化Windows 10月度LCU更新包,提升用戶體驗

        據(jù)官方聲明,微軟于本周四宣布,將繼續(xù)優(yōu)化Windows 10 Version 22H2版本的每月累積更新的容量。這是為了提升廣大用戶在使用該系統(tǒng)時的操作流暢度及體驗感受。
        的頭像 發(fā)表于 04-25 13:52 ?672次閱讀

        谷歌獎勵1000萬美元發(fā)現(xiàn)漏洞的安全專家

        值得注意的是,2023年度漏洞報告的最優(yōu)獎項高達113337美元,加上自計劃啟動至今歷年累積的5.9億美元獎金,其中Android相關內(nèi)容尤其顯著,更有近340萬美元的獎金熠熠生輝,用以鼓勵專家們積極研究安卓漏洞。
        的頭像 發(fā)表于 03-13 14:44 ?541次閱讀

        谷歌升級Bard AI聊天機器人為Gemini,新增Python代碼編輯功能

         此外,谷歌表示,接下來數(shù)個月內(nèi),Gemini Advanced 計劃會加入更多新功能,如支持更為詳盡的上下文信息、增強多模態(tài)交互性以及完善編程功能。據(jù)谷歌公開更新,付費用戶可用 Gemini 界面直接編輯和執(zhí)行 Python 代碼
        的頭像 發(fā)表于 02-20 15:47 ?601次閱讀

        NTDev實現(xiàn)Windows 10百秒快速安裝

        開發(fā)者NTDev曾多次展現(xiàn)其對Windows 10Windows 11極致精簡的技術實力,然而他們并非以實際應用為目標進行Windows系統(tǒng)的瘦身工作,而是以此
        的頭像 發(fā)表于 02-19 14:22 ?877次閱讀

        Windows事件日志查看器存在零日漏洞

        弗洛里安指出,該漏洞無需高級用戶權限即可通過Windows 10設備使域控制器的日志服務失效。AcrosSecurity經(jīng)過驗證
        的頭像 發(fā)表于 02-02 14:29 ?560次閱讀

        代碼審計怎么做?有哪些常用工具

        代碼審計是一種通過檢查源代碼發(fā)現(xiàn)潛在的安全漏洞的方法。 下面是常用的源代碼審計工具: 1、Fortify:通過內(nèi)置的五大主要分析引擎,對
        發(fā)表于 01-17 09:35

        微軟2024年首個補丁周二修復49項安全漏洞,其中2項為嚴重級別

        值得關注的是,編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9,可謂當之無愧的“年度最危險漏洞”。據(jù)悉,此漏洞可使黑客發(fā)動中間人攻
        的頭像 發(fā)表于 01-12 14:43 ?944次閱讀

        前端大倉monorepo權限設計思路和實現(xiàn)方案

        在 GitLab 未支持文件目錄權限設置之前,對于文件目錄權限的控制主要依賴 Git 的鉤子函數(shù),在代碼提交的時候,對暫存區(qū)的變更文件進行識別并做文件權限校驗,流程設計也不怎么復雜,只
        的頭像 發(fā)表于 01-12 09:52 ?736次閱讀
        前端大倉monorepo<b class='flag-5'>權限</b>設計思路和實現(xiàn)方案