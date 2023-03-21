الشكل 4 — ما بعد تحديث afd!AfdNotifyRemoveIoCompletion

هذا التغيير الموضح أعلاه هو التحديث الوحيد للدالة المحددة. أظهرت بعض التحليلات السريعة أن هناك فحص يُجرى بناءً على PreviousMode . إذا كانت قيمة PreviousMode تساوي صفر (ما يشير إلى أن الاستدعاء صادر من النواة)، تُكتب القيمة إلى المؤشر المحدد بواسطة حقل في بنية غير معروفة. من ناحية أخرى، إذا كانت قيمة PreviousMode ليست صفرًا، فعندئذٍ، يُجرى استدعاء ProbeForWrite للتأكد من أن المؤشر المحدد في الحقل هو عنوان صالح موجود في وضع المستخدم.

وهذا الفحص غير موجود في إصدار ما قبل التحديث الأمني لبرنامج التشغيل. ونظرًا إلى أن الدالة بها عبارة تبديل محددة من أجل PreviousMode ، فمن المفترض أن المطور كان ينوي إضافة هذا الفحص ولكنه نسي (جميعنا نحتاج إلى شرب القهوة للتركيز أحيانًا ☕!).

من هذا التحديث، يمكننا استنتاج أنه يمكن للمهاجم الوصول إلى مسار الكود هذا بقيمة مضبوطة على field_0x18 ضمن البنية غير المعروفة. إذا تمكن المهاجم من ملء هذا الحقل بعنوان نواة، فمن الممكن إنشاء بيانات بدائية للكتابة العشوائية في أي مكان داخل النواة. في هذه المرحلة، لا يكون واضحًا ما القيمة التي تُكتب، ولكن من المحتمل أن تُستخدم أي قيمة كبيانات بدائية لزيادة الامتيازات المحلية.