A Google nyilvánosságra hozta a Windows 10 javítatlan Zero day bugjának részleteit

A Google Project Zero Proof of Concept kódot adott ki a Windows 10 rendszermag puffertúlcsordulási sebezhetőségére, amelyet kihasználva helyi jogosultságok kiterjesztésére lehet rosszindulatú programokat futtatni az operációs rendszeren. A Chrome nemrégiben kijavított hibájával kombinálva ez lehetővé teszi, hogy a webes rosszindulatú programok kiszabaduljanak a Chrome homokozójából, és teljes mértékben átvegyék az irányítást a számítógép felett.

A Google szerint a hiba (CVE-2020 17087-).

A Project Zero technikai vezetője, Ben Hawkes szerint a Microsoft azt tervezi, hogy november 10-én kiad egy javítást.

Míg a hibát a természetben használják ki, a Google és a Microsoft is azt mondta, hogy a támadások „célzottak”, bár nem kapcsolódnak az amerikai választásokhoz.

A Microsoft szóvivője szerint a bejelentett támadás „nagyon korlátozott és célzott természetű, és nem láttunk bizonyítékot arra, hogy széles körben elterjedt volna”.

Természetesen most megjelent a Proof of Concept kód, ez valószínűleg már nem lesz így.

A hiba vélhetően érinti a Windows 7-ig visszamenőleges Windows-verziókat, valamint a Windows 10 összes teljesen javított verzióját.

A Microsoft közleményében azt mondta:

„A Microsoft ügyfelei elkötelezettek a bejelentett biztonsági problémák kivizsgálása és az érintett eszközök frissítése iránt az ügyfelek védelme érdekében. Miközben azon dolgozunk, hogy az összes kutató által meghatározott közzétételi határidőket betartsuk, ideértve a jelen forgatókönyvhöz hasonló rövid távú határidőket is, a biztonsági frissítések kidolgozása egyensúlyt teremt az időszerűség és a minőség között, és végső célunk a maximális ügyfélvédelem biztosítása az ügyfelek minimális megzavarása mellett. ”

keresztül TechCrunch