微软 Demoting leads to use after free 漏洞原理分析

文章预览

漏洞描述 微软8月份补丁日发布了编号为CVE-2024-38147的DWM核心漏洞库提权漏洞，由山石网科信创安全实验室报告，目前已修复完成，漏洞详细情况详如下： 漏洞名称 微软 DWM 核心库权限提升漏洞 漏洞公开编号 CVE-2024-38147 漏洞类型 权限提升 公开时间 2024-08-14 漏洞等级 重要 评分 7.8 漏洞所需权限 低权限 漏洞利用难度 低 PoC状态 未知 EXP状态 未知 漏洞细节 未知 在野利用 未知 微软 DirectComposition 合成器是一个 Windows 组件内核组件，位于win32k驱动程序中，它支持高性能的位图合成，具有变换、效果和动画功能。应用程序开发人员可以使用 DirectComposition API 创建视觉上引人入胜的用户界面，该界面具有从一个视觉到另一个视觉的丰富流畅的动画过渡。 DirectComposition 通过实现高帧速率、使用图形硬件和独立于 UI 线程运行来实现丰富流畅的过渡。 DirectComp ………………………………