Google avslører detaljer om uopprettet Zero day-feil i Windows 10
2 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Googles Project Zero har gitt ut Proof of Concept-kode for et bufferoverløpssårbarhet i Windows 10-kjernen som kan utnyttes for lokal rettighetseskalering for å kjøre skadelig programvare på operativsystemet. Når det kombineres med en nylig rettet feil i Chrome, vil dette tillate nettskadevare å unnslippe Chrome-sandkassen og ta full kontroll over en PC.
Google sa feilen (CVE-2020-17087) ble utnyttet i naturen og ga Microsoft bare 7 dager på å lappe den, en frist som ikke overraskende har passert uten en oppdatering.
I følge Project Zeros tekniske leder Ben Hawkes, planlegger Microsoft å gi ut en oppdatering 10. november.
Mens feilen blir utnyttet i naturen, sa både Google og Microsoft at angrepene var "målrettet", men ikke relatert til det amerikanske valget.
En talsperson for Microsoft sa at det rapporterte angrepet er "svært begrenset og målrettet i naturen, og vi har ikke sett noen bevis som indikerer utbredt bruk."
Selvfølgelig, nå er Proof of Concept-koden utgitt, vil dette sannsynligvis ikke være tilfelle lenger.
Feilen antas å påvirke Windows-versjoner som dateres helt tilbake til Windows 7, og også alle fullstendig patchede versjoner av Windows 10.
I en uttalelse sa Microsoft:
"Microsoft har en kundeforpliktelse til å undersøke rapporterte sikkerhetsproblemer og oppdatere berørte enheter for å beskytte kundene. Mens vi jobber for å overholde alle forskeres frister for avsløring, inkludert kortsiktige frister som i dette scenariet, er utvikling av en sikkerhetsoppdatering en balanse mellom aktualitet og kvalitet, og vårt endelige mål er å bidra til å sikre maksimal kundebeskyttelse med minimal kundeforstyrrelse. ”
av TechCrunch