گوگل جزئیات باگ Zero day وصله نشده ویندوز 10 را فاش می کند

Project Zero گوگل کد Proof of Concept را برای آسیب‌پذیری سرریز بافر در هسته ویندوز 10 منتشر کرده است که می‌تواند برای افزایش امتیاز محلی برای اجرای بدافزار در سیستم عامل مورد سوء استفاده قرار گیرد. هنگامی که با نقصی که اخیراً در کروم وصله شده است، ترکیب شود، این به بدافزار وب اجازه می‌دهد تا از جعبه ایمنی Chrome فرار کند و کنترل کامل رایانه شخصی را در دست بگیرد.

گوگل گفته نقص (CVE-2020-17087) در طبیعت مورد سوء استفاده قرار می گرفت و تنها 7 روز به مایکروسافت فرصت داد تا آن را وصله کند، مهلتی که بدون تعجب سپری شده است.

به گفته بن هاکس، سرپرست فنی پروژه زیرو، مایکروسافت قصد دارد در 10 نوامبر یک پچ را منتشر کند.

در حالی که این نقص در طبیعت مورد سوء استفاده قرار می گیرد، گوگل و مایکروسافت هر دو گفتند که این حملات "هدفمند" بوده اند، اگرچه مربوط به انتخابات ایالات متحده نبودند.

یکی از سخنگویان مایکروسافت گفت که حمله گزارش شده "ماهیت بسیار محدود و هدفمند دارد و ما هیچ مدرکی دال بر استفاده گسترده ندیده ایم."

البته اکنون کد Proof of Concept منتشر شده است که به احتمال زیاد دیگر چنین نخواهد بود.

اعتقاد بر این است که این نقص بر نسخه‌های ویندوز که قدمت آن به ویندوز 7 بازمی‌گردد، و همچنین تمام نسخه‌های به‌طور کامل وصله‌شده ویندوز 10 تأثیر می‌گذارد.

مایکروسافت در بیانیه ای گفت:

مایکروسافت تعهد مشتری به بررسی مسائل امنیتی گزارش شده و به روز رسانی دستگاه های آسیب دیده برای محافظت از مشتریان دارد. در حالی که ما تلاش می‌کنیم تمام مهلت‌های محققین را برای افشای اطلاعات، از جمله ضرب‌الاجل‌های کوتاه‌مدت مانند این سناریو، رعایت کنیم، ایجاد به‌روزرسانی امنیتی تعادلی بین به‌موقع بودن و کیفیت است، و هدف نهایی ما کمک به اطمینان از حداکثر حفاظت از مشتری با حداقل اختلال مشتری است. ”

از طريق TechCrunch