Google révèle les détails du bogue Zero Day non corrigé dans Windows 10

Project Zero de Google a publié un code de preuve de concept pour une vulnérabilité de dépassement de mémoire tampon dans le noyau Windows 10 qui peut être exploitée pour une élévation locale des privilèges afin d'exécuter des logiciels malveillants sur le système d'exploitation. Combiné à une faille récemment corrigée dans Chrome, cela permettrait aux logiciels malveillants Web de s'échapper du bac à sable Chrome et de prendre le contrôle total d'un PC.

Google a dit la faille (CVE-2020-17087) était exploité à l'état sauvage et n'a donné à Microsoft que 7 jours pour le corriger, un délai qui s'est sans surprise écoulé sans correctif.

Selon le responsable technique de Project Zero, Ben Hawkes, Microsoft prévoit de publier un correctif le 10 novembre.

Alors que la faille est exploitée dans la nature, Google et Microsoft ont déclaré que les attaques étaient « ciblées », mais sans rapport avec les élections américaines.

Un porte-parole de Microsoft a déclaré que l'attaque signalée est "de nature très limitée et ciblée, et nous n'avons vu aucune preuve indiquant une utilisation généralisée".

Bien sûr, maintenant que le code de preuve de concept a été publié, cela ne sera probablement plus le cas.

On pense que la faille affecte les versions de Windows remontant à Windows 7, ainsi que toutes les versions entièrement corrigées de Windows 10.

Dans un communiqué, Microsoft a déclaré :

« Microsoft s'engage auprès de ses clients à enquêter sur les problèmes de sécurité signalés et à mettre à jour les appareils concernés pour protéger les clients. Alors que nous nous efforçons de respecter les délais de divulgation de tous les chercheurs, y compris les délais à court terme comme dans ce scénario, le développement d'une mise à jour de sécurité est un équilibre entre rapidité et qualité, et notre objectif ultime est d'aider à assurer une protection maximale des clients avec une interruption minimale des clients. ”

via TechCrunch