Google avslører detaljer om uopprettet Zero day-feil i Windows 10

Googles Project Zero har gitt ut Proof of Concept-kode for et bufferoverløpssårbarhet i Windows 10-kjernen som kan utnyttes for lokal rettighetseskalering for å kjøre skadelig programvare på operativsystemet. Når det kombineres med en nylig rettet feil i Chrome, vil dette tillate nettskadevare å unnslippe Chrome-sandkassen og ta full kontroll over en PC.

Google sa feilen (CVE-2020-17087) ble utnyttet i naturen og ga Microsoft bare 7 dager på å lappe den, en frist som ikke overraskende har passert uten en oppdatering.

I følge Project Zeros tekniske leder Ben Hawkes, planlegger Microsoft å gi ut en oppdatering 10. november.

Mens feilen blir utnyttet i naturen, sa både Google og Microsoft at angrepene var "målrettet", men ikke relatert til det amerikanske valget.

En talsperson for Microsoft sa at det rapporterte angrepet er "svært begrenset og målrettet i naturen, og vi har ikke sett noen bevis som indikerer utbredt bruk."

Selvfølgelig, nå er Proof of Concept-koden utgitt, vil dette sannsynligvis ikke være tilfelle lenger.

Feilen antas å påvirke Windows-versjoner som dateres helt tilbake til Windows 7, og også alle fullstendig patchede versjoner av Windows 10.

I en uttalelse sa Microsoft:

"Microsoft har en kundeforpliktelse til å undersøke rapporterte sikkerhetsproblemer og oppdatere berørte enheter for å beskytte kundene. Mens vi jobber for å overholde alle forskeres frister for avsløring, inkludert kortsiktige frister som i dette scenariet, er utvikling av en sikkerhetsoppdatering en balanse mellom aktualitet og kvalitet, og vårt endelige mål er å bidra til å sikre maksimal kundebeskyttelse med minimal kundeforstyrrelse. ”

av TechCrunch