Google Project Zero披露了一个Windows零日漏洞，该漏洞是由对CVE-2020-0986的不正确修复导致的，该安全缺陷在名为Operation PowerFall的活动中被滥用。

名为CVE-2020-17008的新漏洞已于9月24日报告给Microsoft。根据Project Zero的政策，90天后（即12月23日）公开了详细信息，尽管Microsoft错过了补丁截止日期。

CVE-2020-0986于2020年5月披露，最初于2019年12月向Microsoft报告，并于2020年6月发布了补丁。在披露该漏洞后的几天内，观察到针对该漏洞的攻击。

在2020年8月，卡巴斯基发布了有关将CVE-2020-0986与零时差链接的攻击链接到Internet Explorer的信息，这是被称为Operation PowerFall的攻击活动的一部分。

“通过使用这个漏洞可以操纵splwow64.exe进程的内存实现的过程中执行任意代码，逃离的Internet Explorer 11的沙箱，因为splwow64.exe与中等完整性级别运行，”卡巴斯基解释的九月的帖子。

通过简单地更改CVE-2020-0986的利用方法（一种影响GDI打印/打印后台处理程序API的任意指针取消引用缺陷），也可以滥用splwow64.exe中CVE-2020-17008中的特权提升错误。

Google零项目研究员Maddie Stone解释说CVE-2020-17008实际上与CVE-2020-0986几乎相同，唯一的区别是“对于CVE-2020-0986，攻击者发送了一个指针，现在攻击者发送了一个偏移量。”

在Twitter上，斯通指出，微软的修复程序有问题，因为它只是将指针更改为偏移量，未能阻止攻击者控制“内存中的参数”。

研究人员还发布了针对CVE-2020-17008的概念验证（PoC）代码，并指出该漏洞利用是为CVE-2020-0986发布的PoC Kaspersky的改编。

Stone说：“它两次触发了memcpy漏洞：首先泄漏存储消息的堆地址以及将偏移量添加到何处以生成指针，然后在哪里进行写操作。”

微软在收到漏洞报告后的一天就确认了该问题，其目标是在11月发布补丁，但由于测试中发现了问题，因此推迟了修复程序。该公司目前的目标是在2021年1月解决该错误。