Google rivela i dettagli del bug Zero Day senza patch in Windows 10

Project Zero di Google ha rilasciato il codice Proof of Concept per una vulnerabilità di overflow del buffer nel kernel di Windows 10 che può essere sfruttata per l'escalation dei privilegi locali per eseguire malware sul sistema operativo. Se combinato con un difetto patchato di recente in Chrome, ciò consentirebbe al malware Web di sfuggire alla sandbox di Chrome e assumere il controllo completo di un PC.

Google ha detto che il difetto (CVE-2020-17087) è stato sfruttato in natura e ha concesso a Microsoft solo 7 giorni per applicare la patch, una scadenza che non sorprende che sia scaduta senza una patch.

Secondo Ben Hawkes, responsabile tecnico di Project Zero, Microsoft prevede di rilasciare una patch il 10 novembre.

Mentre il difetto viene sfruttato in natura, sia Google che Microsoft hanno affermato che gli attacchi sono stati "mirati", sebbene non correlati alle elezioni statunitensi.

Un portavoce di Microsoft ha affermato che l'attacco segnalato è "di natura molto limitato e mirato e non abbiamo visto prove che indichino un uso diffuso".

Ovviamente, ora che il codice Proof of Concept è stato rilasciato, è probabile che non sia più così.

Si ritiene che il difetto influisca sulle versioni di Windows risalenti a Windows 7 e anche su tutte le versioni completamente patchate di Windows 10.

In una dichiarazione Microsoft ha dichiarato:

“Microsoft ha l'impegno dei clienti di indagare sui problemi di sicurezza segnalati e aggiornare i dispositivi interessati per proteggere i clienti. Mentre lavoriamo per rispettare le scadenze di divulgazione di tutti i ricercatori, comprese le scadenze a breve termine come in questo scenario, lo sviluppo di un aggiornamento della sicurezza è un equilibrio tra tempestività e qualità e il nostro obiettivo finale è garantire la massima protezione del cliente con il minimo disturbo del cliente. "

via TechCrunch