Уязвимость нулевого дня в ОС Windows раскрыта за 10 дней до ожидаемого исправления

Исследователи Project Zero корпорации Google опубликовали описание уязвимости нулевого дня в ОС Windows. Также опубликован и демонстрационный код, подтверждающий возможность ее эксплуатации. По словам главы Project Zero Бена Хоукса, уязвимость, получившая идентификатор CVE-2020-17087, уже используется в реальных атаках.

Эти атаки являются двухступенчатыми, эксплуатируя «связку» из двух уязвимостей. Первая из них, CVE-2020-15999, выявлена в браузере Chrome и позволяет дистанционно исполнить произвольный код. Что касается уязвимости Windows, то она дает злоумышленникам возможность выйти за пределы «песочницы» Chrome и запустить этот код на уровне операционной системы с расширенным уровнем привилегий. Уязвимость CVE-2020-17087 затрагивает все версии операционной системы, начиная с Windows 7 и заканчивая последними сборками Windows 10.

Специалисты Google устранили уязвимость Chrome и уведомили о ситуации разработчиков Microsoft, предоставив им 7 дней на ликвидацию проблемs. Однако те не уложились в отведенный срок, после чего информация об уязвимости была опубликована. Предполагается, что патч для ее ликвидации войдет в состав очередного пакета плановых обновлений от Microsoft, который выйдет 10 ноября.


Источник:  ZDNet

Возврат к списку