Google tiết lộ chi tiết về lỗi Zero day chưa được vá trong Windows 10

Project Zero của Google đã phát hành mã Proof of Concept cho lỗ hổng tràn bộ đệm trong nhân Windows 10, lỗ hổng này có thể bị khai thác để leo thang đặc quyền cục bộ để chạy phần mềm độc hại trên hệ điều hành. Khi kết hợp với một lỗ hổng được vá gần đây trong Chrome, điều này sẽ cho phép phần mềm độc hại trên web thoát khỏi hộp cát Chrome và kiểm soát hoàn toàn PC.

Google cho biết lỗ hổng (CVE-2020-17087) đã bị khai thác trong tự nhiên và Microsoft chỉ cho 7 ngày để vá nó, một thời hạn đã trôi qua một cách đáng ngạc nhiên mà không có bản vá.

Theo Ben Hawkes, trưởng nhóm kỹ thuật của Project Zero, Microsoft dự kiến ​​sẽ phát hành bản vá vào ngày 10/XNUMX.

Mặc dù lỗ hổng này đang được khai thác rầm rộ, cả Google và Microsoft đều cho biết các cuộc tấn công đã được "nhắm mục tiêu", mặc dù không liên quan đến Bầu cử Hoa Kỳ.

Người phát ngôn của Microsoft cho biết cuộc tấn công được báo cáo là "rất hạn chế và có mục tiêu trong tự nhiên, và chúng tôi không thấy bằng chứng nào cho thấy việc sử dụng rộng rãi."

Tất nhiên, bây giờ mã Proof of Concept đã được phát hành, điều này có khả năng không còn xảy ra nữa.

Lỗ hổng này được cho là sẽ ảnh hưởng đến các phiên bản Windows có từ trước Windows 7 và tất cả các phiên bản Windows 10 đã được vá đầy đủ.

Trong một tuyên bố Microsoft cho biết:

“Microsoft có cam kết với khách hàng là điều tra các vấn đề bảo mật được báo cáo và cập nhật các thiết bị bị ảnh hưởng để bảo vệ khách hàng. Mặc dù chúng tôi làm việc để đáp ứng tất cả các thời hạn tiết lộ của các nhà nghiên cứu, bao gồm cả thời hạn ngắn hạn như trong trường hợp này, nhưng việc phát triển bản cập nhật bảo mật là sự cân bằng giữa tính kịp thời và chất lượng, đồng thời mục tiêu cuối cùng của chúng tôi là giúp đảm bảo khách hàng được bảo vệ tối đa với sự gián đoạn tối thiểu của khách hàng. ”

thông qua TechCrunch