Google enthüllt Details zum ungepatchten Zero-Day-Bug in Windows 10

Googles Project Zero hat einen Proof-of-Concept-Code für eine Pufferüberlauf-Schwachstelle im Windows-10-Kernel veröffentlicht, die für eine lokale Rechteausweitung ausgenutzt werden kann, um Malware auf dem Betriebssystem auszuführen. In Kombination mit einem kürzlich gepatchten Fehler in Chrome würde dies Web-Malware ermöglichen, der Chrome-Sandbox zu entkommen und die vollständige Kontrolle über einen PC zu übernehmen.

Google sagte den Fehler (CVE-2020-17087) wurde in freier Wildbahn ausgenutzt und gab Microsoft nur 7 Tage Zeit, um es zu patchen, eine Frist, die ohne einen Patch nicht überraschend verstrichen ist.

Laut dem technischen Leiter von Project Zero, Ben Hawkes, plant Microsoft, am 10. November einen Patch herauszugeben.

Während der Fehler in freier Wildbahn ausgenutzt wird, sagten sowohl Google als auch Microsoft, die Angriffe seien „gezielt“, obwohl sie nichts mit den US-Wahlen zu tun hätten.

Ein Microsoft-Sprecher sagte, der gemeldete Angriff sei „sehr begrenzt und zielgerichtet, und wir haben keine Beweise für eine weit verbreitete Nutzung gesehen“.

Jetzt, da der Proof-of-Concept-Code veröffentlicht wurde, ist dies natürlich wahrscheinlich nicht mehr der Fall.

Es wird angenommen, dass der Fehler Windows-Versionen betrifft, die bis zurück zu Windows 7 zurückreichen, sowie alle vollständig gepatchten Versionen von Windows 10.

In einer Erklärung sagte Microsoft:

„Microsoft verpflichtet sich als Kunde, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte zu aktualisieren, um Kunden zu schützen. Während wir daran arbeiten, die Fristen aller Forscher für Offenlegungen einzuhalten, einschließlich kurzfristiger Fristen wie in diesem Szenario, ist die Entwicklung eines Sicherheitsupdates ein Gleichgewicht zwischen Aktualität und Qualität, und unser oberstes Ziel ist es, dazu beizutragen, maximalen Kundenschutz bei minimaler Kundenunterbrechung zu gewährleisten. ”

TechCrunch