漏洞关键信息 漏洞概述 漏洞名称: Microsoft Windows uIGetNearestIndexFromColorref Out-Of-Bounds Write Privilege Escalation Vulnerability 漏洞编号: - ZDI-19-976 - ZDI-CAN-9100 - CVE-2019-1408 CVSS评分 CVSS分数: 8.8 CVSS向量: AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H 受影响的供应商和产品 受影响的供应商: Microsoft 受影响的产品: Windows 漏洞详情 漏洞描述: 此漏洞允许本地攻击者在受影响的Microsoft Windows安装上提升权限。攻击者必须首先获得在目标系统上执行低权限代码的能力,才能利用此漏洞。 具体缺陷: 在win32k.sys中的uIGetNearestIndexFromColorref函数内存在特定缺陷,由于对用户提供的数据缺乏适当的验证,可能导致向分配数组之外写入。攻击者可以利用此漏洞提升权限并以SYSTEM上下文执行代码。 补丁信息和披露时间表 更新信息: Microsoft已发布更新修复此漏洞。更多细节可以在以下链接找到:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1408 披露时间表: - 2019-08-07 - 漏洞报告给供应商 - 2019-11-13 协调公开发布咨询公告 发现者 发现者: Marcin Wiazowski