Google розкриває деталі невиправленої помилки Zero day в Windows 10

Google Project Zero випустив код Proof of Concept для вразливості переповнення буфера в ядрі Windows 10, яку можна використати для локального підвищення привілеїв для запуску шкідливого програмного забезпечення в операційній системі. У поєднанні з нещодавно виправленим недоліком у Chrome це дозволить веб-зловмисним програмам вийти з пісочниці Chrome і отримати повний контроль над ПК.

Google сказав про недолік (CVE-2020-17087) використовувався в дикій природі і дав Microsoft лише 7 днів, щоб виправити його, термін, який не дивно, минув без виправлення.

За словами технічного керівника Project Zero Бена Хоукса, Microsoft планує випустити патч 10 листопада.

Незважаючи на те, що недолік використовують у дикій природі, і Google, і Microsoft заявили, що атаки були «цільовими», хоча й не пов’язані з виборами в США.

Представник Microsoft сказав, що повідомлена атака має «дуже обмежений та цілеспрямований характер, і ми не побачили жодних доказів, які б вказували на широке використання».

Звичайно, зараз код Proof of Concept був опублікований, швидше за все, цього більше не буде.

Вважається, що ця вада вплине на версії Windows, починаючи з Windows 7, а також на всі повністю виправлені версії Windows 10.

У заяві Microsoft йдеться:

«Microsoft зобов’язується розслідувати проблеми безпеки, про які повідомлялося, та оновлювати пристрої, які вплинули на них, щоб захистити клієнтів. Незважаючи на те, що ми працюємо над тим, щоб дотримуватись термінів, встановлених дослідниками для розкриття інформації, включаючи короткострокові терміни, як у цьому сценарії, розробка оновлення безпеки — це баланс між своєчасністю та якістю, і наша кінцева мета — допомогти забезпечити максимальний захист клієнтів із мінімальними перешкодами для клієнтів. ”

через TechCrunch