Google odhaľuje podrobnosti o neopravenej chybe Zero day vo Windowse 10

Projekt Zero spoločnosti Google vydal kód Proof of Concept pre chybu zabezpečenia pretečenia vyrovnávacej pamäte v jadre Windows 10, ktorú možno zneužiť na eskaláciu miestnych privilégií na spustenie škodlivého softvéru v operačnom systéme. V kombinácii s nedávno opravenou chybou v prehliadači Chrome by to umožnilo webovému škodlivému softvéru uniknúť z karantény prehliadača Chrome a prevziať úplnú kontrolu nad počítačom.

Google povedal chybu (CVE-2020 17087,).

Podľa technického vedúceho projektu Project Zero Bena Hawkesa Microsoft plánuje vydať opravu 10. novembra.

Zatiaľ čo sa chyba využíva vo voľnej prírode, Google aj Microsoft uviedli, že útoky boli „cielené“, hoci nesúviseli s voľbami v USA.

Hovorca Microsoftu uviedol, že ohlásený útok je „veľmi obmedzený a cielený vo svojej podstate a nezaznamenali sme žiadne dôkazy, ktoré by naznačovali rozšírené používanie“.

Samozrejme, teraz bol vydaný kód Proof of Concept, pravdepodobne to tak už nebude.

Predpokladá sa, že chyba ovplyvňuje verzie Windowsu siahajúce až po Windows 7 a tiež všetky plne opravené verzie Windowsu 10.

Microsoft vo vyhlásení uviedol:

„Microsoft sa zaviazal zákazníka vyšetriť nahlásené bezpečnostné problémy a aktualizovať dotknuté zariadenia, aby ochránil zákazníkov. Zatiaľ čo pracujeme na tom, aby sme dodržali termíny všetkých výskumníkov na zverejnenie, vrátane krátkodobých termínov, ako je to v tomto scenári, vývoj bezpečnostnej aktualizácie je rovnováhou medzi včasnosťou a kvalitou a naším konečným cieľom je pomôcť zabezpečiť maximálnu ochranu zákazníka s minimálnym narušením zákazníka. “

via TechCrunch