Googleは、Windows10でパッチが適用されていないゼロデイバグの詳細を明らかにします

GoogleのProjectZeroは、Windows 10カーネルのバッファオーバーフローの脆弱性に対する概念実証コードをリリースしました。これは、ローカル特権の昇格に悪用され、オペレーティングシステムでマルウェアを実行する可能性があります。 Chromeに最近パッチが適用された欠陥と組み合わせると、WebマルウェアがChromeサンドボックスから脱出し、PCを完全に制御できるようになります。

グーグルは欠陥を言った（CVE-2020-17087）は実際に悪用されており、Microsoftにパッチを適用するのに7日しか与えられていませんでした。この期限は、パッチなしで当然のことながら過ぎました。

ProjectZeroのテクニカルリードであるBenHawkesによると、Microsoftは10月XNUMX日にパッチを発行する予定です。

この欠陥が実際に悪用されている間、グーグルとマイクロソフトの両方が、米国の選挙とは関係がないものの、攻撃は「標的にされた」と述べた。

マイクロソフトのスポークスパーソンは、報告された攻撃は「本質的に非常に限定的で標的にされており、広範囲に使用されていることを示す証拠は見られない」と述べた。

もちろん、概念実証コードがリリースされたので、これはもう当てはまらない可能性があります。

この欠陥は、Windows 7にまでさかのぼるWindowsバージョン、およびWindows10のすべての完全にパッチが適用されたバージョンに影響を与えると考えられています。

マイクロソフトは声明の中で次のように述べています。

「マイクロソフトには、報告されたセキュリティの問題を調査し、影響を受けるデバイスを更新してお客様を保護するというお客様の責任があります。 このシナリオのような短期間の期限を含め、すべての研究者の開示期限を守るよう努めていますが、セキュリティ更新プログラムの開発は適時性と品質のバランスであり、最終的な目標は、顧客の混乱を最小限に抑えて最大限の顧客保護を確保することです。 」

、 TechCrunchの