Google onthult details van niet-gepatchte Zero day-bug in Windows 10

Project Zero van Google heeft Proof of Concept-code vrijgegeven voor een kwetsbaarheid voor bufferoverloop in de Windows 10-kernel die kan worden misbruikt voor lokale escalatie van bevoegdheden om malware op het besturingssysteem uit te voeren. In combinatie met een recent gepatchte fout in Chrome zou dit ervoor zorgen dat webmalware kan ontsnappen uit de Chrome-sandbox en de volledige controle over een pc overneemt.

Google zei de fout (CVE-2020-17087) werd in het wild uitgebuit en gaf Microsoft slechts 7 dagen om het te patchen, een deadline die niet verrassend is verstreken zonder een patch.

Volgens Ben Hawkes, technisch leider van Project Zero, is Microsoft van plan om op 10 november een patch uit te brengen.

Hoewel de fout in het wild wordt uitgebuit, zeiden zowel Google als Microsoft dat de aanvallen "gericht" waren, maar niet gerelateerd aan de Amerikaanse verkiezingen.

Een Microsoft-woordvoerder zei dat de gerapporteerde aanval "zeer beperkt en gericht van aard is, en we hebben geen bewijs gezien dat op wijdverbreid gebruik wijst".

Nu de Proof of Concept-code is vrijgegeven, is dit natuurlijk niet meer het geval.

Aangenomen wordt dat de fout invloed heeft op Windows-versies die helemaal teruggaan tot Windows 7, en ook alle volledig gepatchte versies van Windows 10.

In een verklaring zei Microsoft:

“Microsoft heeft zich als klant verbonden om gerapporteerde beveiligingsproblemen te onderzoeken en getroffen apparaten bij te werken om klanten te beschermen. Hoewel we werken om de deadlines van alle onderzoekers voor openbaarmakingen te halen, inclusief kortetermijndeadlines zoals in dit scenario, is het ontwikkelen van een beveiligingsupdate een balans tussen tijdigheid en kwaliteit, en ons uiteindelijke doel is om te zorgen voor maximale klantbescherming met minimale verstoring van de klant. ”

via TechCrunch