相关组件介绍

Splwow64.exe是一个Windows的核心系统文件，通常在后台运行，并且不可见。它是32位应用程序的打印机驱动程序。换句话说，splwow64.exe允许32位应用程序与x64 Windows构建上的64位打印机后台处理程序服务连接。

漏洞描述

该漏洞存在于windows的splwow64组件，当32位进程尝试在64位系统中连接至打印机服务时，windows会启动splwow64进程来处理他们之间的交互过程，攻击者通过发送LPC消息与splwow64进行交互，当splwow64在处理编号为0x6d(INDEX_DocumentEvent)的消息时，会错误的将攻击者可控的值当成一个有效的指针来处理，进而导致任意地址读写的错误，通过利用该错误，攻击者可以实现特权提升，然后可以读取用户的敏感数据，安装后门。

影响范围

受影响版本：

Win8.1 到 win10 2004的所有版本

修复建议

目前微软没有发布针对该漏洞的补丁

建议用户谨防来历不明的文件和链接，不要轻易点击运行 .不要使用旧版IE浏览器，它被该漏洞攻击的风险更大，建议改为使用Chrome，firefox等浏览器。