Google revela detalhes do bug Zero Day sem correção no Windows 10

O Project Zero do Google lançou o código de prova de conceito para uma vulnerabilidade de estouro de buffer no kernel do Windows 10, que pode ser explorada para escalonamento de privilégios locais para executar malware no sistema operacional. Quando combinado com uma falha recentemente corrigida no Chrome, isso permitiria que o malware da Web escapasse da sandbox do Chrome e assumisse o controle total de um PC.

O Google disse que a falha (CVE-2020-17087) estava sendo explorado em estado selvagem e deu à Microsoft apenas 7 dias para corrigi-lo, um prazo que, sem surpresa, passou sem um patch.

De acordo com o líder técnico do Project Zero, Ben Hawkes, a Microsoft planeja lançar um patch em 10 de novembro.

Enquanto a falha está sendo explorada em estado selvagem, tanto o Google quanto a Microsoft disseram que os ataques foram "direcionados", embora não relacionados à eleição dos EUA.

Um porta-voz da Microsoft disse que o ataque relatado é “muito limitado e direcionado por natureza, e não vimos evidências que indiquem uso generalizado”.

Claro, agora que o código da Prova de Conceito foi lançado, provavelmente não será mais o caso.

Acredita-se que a falha afete as versões do Windows que remontam ao Windows 7 e também todas as versões totalmente corrigidas do Windows 10.

Em um comunicado, a Microsoft disse:

“A Microsoft tem um compromisso com o cliente de investigar os problemas de segurança relatados e atualizar os dispositivos afetados para proteger os clientes. Enquanto trabalhamos para cumprir os prazos de divulgação de todos os pesquisadores, incluindo prazos de curto prazo como neste cenário, desenvolver uma atualização de segurança é um equilíbrio entre pontualidade e qualidade, e nosso objetivo final é ajudar a garantir a máxima proteção ao cliente com o mínimo de interrupção do cliente. ”

via TechCrunch