Google odhaluje podrobnosti o neopravené chybě Zero day ve Windows 10

Projekt Zero společnosti Google vydal kód Proof of Concept pro zranitelnost přetečení vyrovnávací paměti v jádře Windows 10, kterou lze zneužít k eskalaci místních oprávnění ke spuštění malwaru v operačním systému. V kombinaci s nedávno opravenou chybou v prohlížeči Chrome by to umožnilo webovému malwaru uniknout z karantény Chrome a získat úplnou kontrolu nad počítačem.

Google řekl chybu (CVE-2020-17087).

Podle technického vedoucího projektu Project Zero Bena Hawkese Microsoft plánuje vydat opravu 10. listopadu.

I když je chyba využívána ve volné přírodě, Google i Microsoft uvedly, že útoky byly „cílené“, i když nesouvisely s americkými volbami.

Mluvčí Microsoftu řekl, že hlášený útok je „velmi omezený a cílený ve své podstatě a neviděli jsme žádné důkazy, které by naznačovaly široké použití“.

Samozřejmě, že nyní byl zveřejněn kód Proof of Concept, pravděpodobně tomu tak již nebude.

Předpokládá se, že chyba ovlivňuje verze Windows pocházející až do Windows 7 a také všechny plně opravené verze Windows 10.

Microsoft ve svém prohlášení uvedl:

„Microsoft se zavázal prošetřit hlášené problémy se zabezpečením a aktualizovat dotčená zařízení, aby ochránil zákazníky. I když pracujeme na tom, abychom dodrželi termíny všech výzkumníků pro zveřejnění, včetně krátkodobých termínů jako v tomto scénáři, vývoj aktualizace zabezpečení představuje rovnováhu mezi včasností a kvalitou a naším konečným cílem je pomoci zajistit maximální ochranu zákazníků s minimálním narušením zákazníků. “

přes TechCrunch