Google ujawnia szczegóły niezałatanego błędu Zero Day w systemie Windows 10

Projekt Zero firmy Google udostępnił kod Proof of Concept dotyczący luki w zabezpieczeniach przepełnienia bufora w jądrze systemu Windows 10, która może zostać wykorzystana do lokalnej eskalacji uprawnień do uruchamiania złośliwego oprogramowania w systemie operacyjnym. W połączeniu z niedawno załataną luką w Chrome pozwoliłoby to złośliwemu oprogramowaniu na wydostanie się z piaskownicy Chrome i przejęcie pełnej kontroli nad komputerem.

Google powiedział, że wada (CVE-2020-17087) był eksploatowany na wolności i dał Microsoftowi tylko 7 dni na zainstalowanie poprawki, a termin ten, jak można się spodziewać, minął bez poprawki.

Według kierownika technicznego Project Zero, Bena Hawkesa, Microsoft planuje wydać łatkę 10 listopada.

Chociaż luka jest wykorzystywana na wolności, zarówno Google, jak i Microsoft powiedziały, że ataki były „ukierunkowane”, choć nie były związane z wyborami w USA.

Rzecznik Microsoftu powiedział, że zgłoszony atak ma „bardzo ograniczony i ukierunkowany charakter i nie widzieliśmy żadnych dowodów wskazujących na powszechne użycie”.

Oczywiście teraz, gdy opublikowano kod Proof of Concept, prawdopodobnie już tak nie będzie.

Uważa się, że usterka dotyczy wersji systemu Windows, począwszy od systemu Windows 7, a także wszystkich w pełni załatanych wersji systemu Windows 10.

W oświadczeniu Microsoft powiedział:

„Microsoft zobowiązuje się do badania zgłoszonych problemów związanych z bezpieczeństwem i aktualizowania urządzeń, których dotyczy problem, w celu ochrony klientów. Chociaż pracujemy nad dotrzymaniem wszystkich terminów ujawnień przez badaczy, w tym terminów krótkoterminowych, jak w tym scenariuszu, opracowywanie aktualizacji zabezpieczeń jest równowagą między terminowością a jakością, a naszym ostatecznym celem jest zapewnienie maksymalnej ochrony klienta przy minimalnych zakłóceniach dla klienta. ”

przez TechCrunch