Google afslører detaljer om ikke-patchet Zero day-fejl i Windows 10

Googles Project Zero har udgivet Proof of Concept-kode til en bufferoverløbssårbarhed i Windows 10-kernen, som kan udnyttes til lokal privilegieeskalering til at køre malware på operativsystemet. Når det kombineres med en nyligt rettet fejl i Chrome, ville dette tillade web-malware at undslippe Chrome-sandkassen og tage fuldstændig kontrol over en pc.

Google sagde fejlen (CVE-2020-17087) blev udnyttet i naturen og gav Microsoft kun 7 dage til at lappe det, en deadline, der ikke overraskende er gået uden en opdatering.

Ifølge Project Zeros tekniske leder Ben Hawkes, planlægger Microsoft at udgive en patch den 10. november.

Mens fejlen bliver udnyttet i naturen, sagde både Google og Microsoft, at angrebene var "målrettet", men ikke relateret til det amerikanske valg.

En talsmand for Microsoft sagde, at det rapporterede angreb er "meget begrænset og målrettet i naturen, og vi har ikke set noget bevis for udbredt brug."

Selvfølgelig, nu Proof of Concept-koden er blevet frigivet, er dette sandsynligvis ikke tilfældet længere.

Fejlen menes at påvirke Windows-versioner, der går helt tilbage til Windows 7, og også alle fuldt patchede versioner af Windows 10.

I en erklæring sagde Microsoft:

"Microsoft har en kundeforpligtelse til at undersøge rapporterede sikkerhedsproblemer og opdatere berørte enheder for at beskytte kunderne. Mens vi arbejder på at overholde alle forskeres deadlines for offentliggørelse, inklusive kortsigtede deadlines som i dette scenarie, er udvikling af en sikkerhedsopdatering en balance mellem aktualitet og kvalitet, og vores ultimative mål er at hjælpe med at sikre maksimal kundebeskyttelse med minimal kundeforstyrrelse. ”

via TechCrunch