A Google nyilvánosságra hozta a Windows 10 javítatlan Zero day bugjának részleteit
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
A Google Project Zero Proof of Concept kódot adott ki a Windows 10 rendszermag puffertúlcsordulási sebezhetőségére, amelyet kihasználva helyi jogosultságok kiterjesztésére lehet rosszindulatú programokat futtatni az operációs rendszeren. A Chrome nemrégiben kijavított hibájával kombinálva ez lehetővé teszi, hogy a webes rosszindulatú programok kiszabaduljanak a Chrome homokozójából, és teljes mértékben átvegyék az irányítást a számítógép felett.
A Google szerint a hiba (CVE-2020 17087-).
A Project Zero technikai vezetője, Ben Hawkes szerint a Microsoft azt tervezi, hogy november 10-én kiad egy javítást.
Míg a hibát a természetben használják ki, a Google és a Microsoft is azt mondta, hogy a támadások „célzottak”, bár nem kapcsolódnak az amerikai választásokhoz.
A Microsoft szóvivője szerint a bejelentett támadás „nagyon korlátozott és célzott természetű, és nem láttunk bizonyítékot arra, hogy széles körben elterjedt volna”.
Természetesen most megjelent a Proof of Concept kód, ez valószínűleg már nem lesz így.
A hiba vélhetően érinti a Windows 7-ig visszamenőleges Windows-verziókat, valamint a Windows 10 összes teljesen javított verzióját.
A Microsoft közleményében azt mondta:
„A Microsoft ügyfelei elkötelezettek a bejelentett biztonsági problémák kivizsgálása és az érintett eszközök frissítése iránt az ügyfelek védelme érdekében. Miközben azon dolgozunk, hogy az összes kutató által meghatározott közzétételi határidőket betartsuk, ideértve a jelen forgatókönyvhöz hasonló rövid távú határidőket is, a biztonsági frissítések kidolgozása egyensúlyt teremt az időszerűség és a minőség között, és végső célunk a maximális ügyfélvédelem biztosítása az ügyfelek minimális megzavarása mellett. ”
keresztül TechCrunch