谷歌 "零號項目 "專門用來發現該公司自己軟體以及其他公司軟體中的漏洞,並私下向供應商報告,在公開披露前給它們90天時間進行修復。根據所需修復的複雜程度,它有時還會以寬限期的形式提供額外的天數。在過去幾年中,在廠商無法及時修補後,谷歌 "零號項目 "安全團隊已經披露了多個安全漏洞。
訪問漏洞細節:
https://bugs.chromium.org/p/project-zero/issues/detail?id=2096
這包括高通Adreno GPU驅動、微軟Windows、蘋果macOS等當中存在的漏洞。現在,它公開披露了Windows中的一個安全漏洞,如果被人利用,會導致權限提升。
谷歌 "零號項目 "安全人員表示,惡意進程可以向splwow64.exe Windows進程發送本地過程調用(LPC)消息,攻擊者可以通過它向splwow64內存空間中的任意地址寫入任意值。這本質上意味著攻擊者控制了這個目標地址和任何被複製到該地址的內容。
這個漏洞並不完全是新的。事實上,卡巴斯基的一位安全研究人員在今年早些時候就報告了這一問題,微軟早在6月份就打了補丁。不過,這個補丁現在已經被Google Project Zero的Maddie Stone認定為不完整,他表示,微軟的修復只會改變指向偏移量的指針,這意味著攻擊者仍然可以使用偏移量值來攻擊它。
9月24日,Google Project Zero私下向微軟報告了零日的情況,標準的90天期限將於12月24日到期。微軟最初計劃在11月發布修復程序,但該發布時間段隨後滑落到12月。之後,它告訴谷歌,它在測試中發現了新的問題,現在它將在2021年1月發布一個補丁。
12月8日,雙方開會討論了進展和下一步的計劃,其中確定不能向微軟提供14天的寬限期,因為該公司計劃在2021年1月12日的補丁周二發布補丁,比寬限期多出6天。Project Zero團隊計劃在明年再次重新審視政策,但已經公開披露了該漏洞與概念驗證代碼。技術報告還不清楚這影響到哪些版本的Windows,但卡巴斯基幾個月前的報告顯示,攻擊者一直在利用它來攻擊新版本的Windows10。