Google mengungkapkan detail bug Zero day yang belum ditambal di Windows 10

Project Zero Google telah merilis kode Proof of Concept untuk kerentanan buffer overflow di kernel Windows 10 yang dapat dieksploitasi untuk eskalasi hak istimewa lokal untuk menjalankan malware pada sistem operasi. Ketika digabungkan dengan cacat yang baru-baru ini ditambal di Chrome, ini akan memungkinkan malware web untuk keluar dari kotak pasir Chrome dan mengambil kendali penuh dari PC.

Google mengatakan cacat (CVE-2020-17087) sedang dieksploitasi di alam liar dan memberi Microsoft hanya 7 hari untuk menambalnya, tenggat waktu yang secara mengejutkan telah berlalu tanpa tambalan.

Menurut pimpinan teknis Project Zero Ben Hawkes, Microsoft berencana untuk mengeluarkan patch pada 10 November.

Sementara kelemahannya dieksploitasi di alam liar, baik Google dan Microsoft mengatakan serangan itu "ditargetkan", meskipun tidak terkait dengan Pemilu AS.

Seorang juru bicara Microsoft mengatakan serangan yang dilaporkan "sangat terbatas dan ditargetkan, dan kami tidak melihat bukti yang menunjukkan penggunaan yang meluas."

Tentu saja, sekarang kode Proof of Concept telah dirilis, ini kemungkinan tidak akan terjadi lagi.

Cacat ini diyakini memengaruhi versi Windows yang berasal dari Windows 7, dan juga semua versi Windows 10 yang sepenuhnya ditambal.

Dalam sebuah pernyataan Microsoft mengatakan:

“Microsoft memiliki komitmen pelanggan untuk menyelidiki masalah keamanan yang dilaporkan dan memperbarui perangkat yang terpengaruh untuk melindungi pelanggan. Sementara kami bekerja untuk memenuhi tenggat waktu pengungkapan semua peneliti, termasuk tenggat waktu jangka pendek seperti dalam skenario ini, mengembangkan pembaruan keamanan adalah keseimbangan antara ketepatan waktu dan kualitas, dan tujuan utama kami adalah membantu memastikan perlindungan pelanggan yang maksimal dengan gangguan pelanggan yang minimal. ”

melalui TechCrunch