Google обнародовала 0Day-уязвимость в Windows до выпуска патча

Google обнародовала 0Day-уязвимость в Windows до выпуска патча

Ожидается, что Microsoft исправит уязвимость в рамках ноябрьского релиза обновлений безопасности.

Исследователи из команды Google Project Zero опубликовали информацию и PoC-код для уязвимости нулевого дня в ОС Windows, активно эксплуатируемой злоумышленниками совместно с уязвимостью CVE-2020-15999 в браузере Google Chrome ( исправлена в версии 86.0.4240.111).

Как пояснили эксперты, CVE-2020-15999 позволила хакерам запустить вредоносный код в браузере, в то время как время как 0Day-уязвимость в Windows ( CVE-2020-17087 ) использовалась для выхода за пределы песочницы Chrome и запуска кода в операционной системе. Специалисты не раскрыли подробности об атаках, эксплуатировавших данные уязвимости. Известно лишь, что они не касаются предстоящих выборов в США.

Google описывает CVE-2020-17087 как уязвимость повышения привилегий в ядре Windows. Проблема затрагивает все версии Windows, начиная с «семерки» и заканчивая недавним релизом Windows 10.

Команда Google предоставила Microsoft семь дней на исправление уязвимости, но компания не уложилась в отведенный срок, в результате специалисты обнародовали информацию о проблеме. Ожидается, что Microsoft исправит CVE-2020-17087 в рамках ноябрьского релиза обновлений безопасности, запланированного на 10 ноября.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену