Google paljastaa yksityiskohdat korjaamattomasta Zero day -virheestä Windows 10:ssä

Googlen Project Zero on julkaissut Proof of Concept -koodin Windows 10 -ytimen puskurin ylivuotohaavoittuvuudesta, jota voidaan hyödyntää paikallisten oikeuksien eskaloitumiseen haittaohjelmien suorittamiseksi käyttöjärjestelmässä. Yhdistettynä äskettäin korjattuun Chromen virheeseen tämä sallisi verkkohaittaohjelmien paeta Chromen hiekkalaatikosta ja ottaa tietokoneen kokonaan hallintaansa.

Google sanoi virheen (CVE-2020-17087) käytettiin hyväksi luonnossa ja antoi Microsoftille vain 7 päivää aikaa korjata se. Määräaika on yllättäen ohittanut ilman korjausta.

Project Zeron teknisen johtajan Ben Hawkesin mukaan Microsoft aikoo julkaista korjaustiedoston 10. marraskuuta.

Vaikka puutetta hyödynnetään luonnossa, sekä Google että Microsoft sanoivat, että hyökkäykset olivat "kohdennettuja", vaikkakaan eivät liittyneet Yhdysvaltain vaaleihin.

Microsoftin tiedottaja sanoi, että raportoitu hyökkäys on "luonteeltaan hyvin rajoitettu ja kohdennettu, emmekä ole nähneet todisteita laajalle levinneestä käytöstä".

Tietenkin nyt, Proof of Concept -koodi on julkaistu, tämä ei todennäköisesti ole enää niin.

Vian uskotaan vaikuttavan Windows 7:ään asti ulottuviin Windows-versioihin sekä kaikkiin Windows 10:n täysin korjattuihin versioihin.

Microsoft sanoi lausunnossaan:

"Microsoft on sitoutunut tutkimaan raportoituja tietoturvaongelmia ja päivittämään laitteita, joihin vaikuttaa, asiakkaiden suojelemiseksi. Vaikka pyrimme noudattamaan kaikkien tutkijoiden ilmoitusten määräaikoja, mukaan lukien tämän skenaarion kaltaiset lyhytaikaiset määräajat, tietoturvapäivityksen kehittäminen on tasapaino oikea-aikaisuuden ja laadun välillä, ja perimmäisenä tavoitteenamme on auttaa varmistamaan mahdollisimman suuri asiakassuoja mahdollisimman vähäisellä asiakashäiriöllä. ”

kautta TechCrunch