Google раскрывает подробности неисправленной ошибки нулевого дня в Windows 10

Project Zero от Google выпустил код Proof of Concept для уязвимости переполнения буфера в ядре Windows 10, которую можно использовать для локального повышения привилегий для запуска вредоносных программ в операционной системе. В сочетании с недавно исправленной уязвимостью в Chrome это позволит вредоносному ПО выйти из песочницы Chrome и получить полный контроль над ПК.

Гугл сказал недостаток(CVE-2020-17087) эксплуатировался в дикой природе, и Microsoft дала только 7 дней на его исправление, срок, который, что неудивительно, прошел без исправления.

По словам технического руководителя Project Zero Бена Хоукса, Microsoft планирует выпустить патч 10 ноября.

В то время как уязвимость эксплуатируется в дикой природе, и Google, и Microsoft заявили, что атаки были «целевыми», хотя и не связанными с выборами в США.

Представитель Microsoft заявил, что сообщаемая атака носит «очень ограниченный и целенаправленный характер, и мы не видели никаких доказательств, указывающих на широкое распространение».

Конечно, теперь, когда был выпущен код Proof of Concept, это, скорее всего, уже не так.

Считается, что уязвимость затрагивает версии Windows, начиная с Windows 7, а также все полностью исправленные версии Windows 10.

В заявлении Microsoft говорится:

«Microsoft взяла на себя обязательство клиентов расследовать сообщения о проблемах безопасности и обновлять затронутые устройства для защиты клиентов. Хотя мы работаем над тем, чтобы уложиться в сроки, установленные исследователями для раскрытия информации, включая краткосрочные сроки, как в этом сценарии, разработка обновления безопасности — это баланс между своевременностью и качеством, и наша конечная цель — помочь обеспечить максимальную защиту клиентов с минимальным нарушением работы клиентов. ”

с помощью TechCrunch