12月25日,外媒MSPoweruser报道,谷歌零项目团队发布Windows10高危提权漏洞概念验证码.该漏洞涉及splwow64.exeWindows进程。Google发现恶意进程可以向splwow64.exe发送本地过程调用(LPC)消息,攻击者可以通过该消息向splwow64内存空间的任意地址写入任意值。事实上,微软早在今年6月就修补了该漏洞,但谷歌称微软的补丁不完整。微软显然已经改变了指向偏移量的指针,这意味着偏移量仍然可以被利用。谷歌于今年9月24日向微软披露了该问题,在错过了11月的补丁星期二之后,微软在90天内没有应用补丁,导致谷歌对外披露。有关该漏洞的详细信息,请参阅GoogleProjectZero博客。微软目前计划在2021年1月12日修补该漏洞。
