گوگل جزئیات باگ Zero day وصله نشده ویندوز 10 را فاش می کند
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
Project Zero گوگل کد Proof of Concept را برای آسیبپذیری سرریز بافر در هسته ویندوز 10 منتشر کرده است که میتواند برای افزایش امتیاز محلی برای اجرای بدافزار در سیستم عامل مورد سوء استفاده قرار گیرد. هنگامی که با نقصی که اخیراً در کروم وصله شده است، ترکیب شود، این به بدافزار وب اجازه میدهد تا از جعبه ایمنی Chrome فرار کند و کنترل کامل رایانه شخصی را در دست بگیرد.
گوگل گفته نقص (CVE-2020-17087) در طبیعت مورد سوء استفاده قرار می گرفت و تنها 7 روز به مایکروسافت فرصت داد تا آن را وصله کند، مهلتی که بدون تعجب سپری شده است.
به گفته بن هاکس، سرپرست فنی پروژه زیرو، مایکروسافت قصد دارد در 10 نوامبر یک پچ را منتشر کند.
در حالی که این نقص در طبیعت مورد سوء استفاده قرار می گیرد، گوگل و مایکروسافت هر دو گفتند که این حملات "هدفمند" بوده اند، اگرچه مربوط به انتخابات ایالات متحده نبودند.
یکی از سخنگویان مایکروسافت گفت که حمله گزارش شده "ماهیت بسیار محدود و هدفمند دارد و ما هیچ مدرکی دال بر استفاده گسترده ندیده ایم."
البته اکنون کد Proof of Concept منتشر شده است که به احتمال زیاد دیگر چنین نخواهد بود.
اعتقاد بر این است که این نقص بر نسخههای ویندوز که قدمت آن به ویندوز 7 بازمیگردد، و همچنین تمام نسخههای بهطور کامل وصلهشده ویندوز 10 تأثیر میگذارد.
مایکروسافت در بیانیه ای گفت:
مایکروسافت تعهد مشتری به بررسی مسائل امنیتی گزارش شده و به روز رسانی دستگاه های آسیب دیده برای محافظت از مشتریان دارد. در حالی که ما تلاش میکنیم تمام مهلتهای محققین را برای افشای اطلاعات، از جمله ضربالاجلهای کوتاهمدت مانند این سناریو، رعایت کنیم، ایجاد بهروزرسانی امنیتی تعادلی بین بهموقع بودن و کیفیت است، و هدف نهایی ما کمک به اطمینان از حداکثر حفاظت از مشتری با حداقل اختلال مشتری است. ”
از طريق TechCrunch