Ожидается, что Microsoft исправит уязвимость в рамках ноябрьского релиза обновлений безопасности.
Исследователи из команды Google Project Zero опубликовали информацию и PoC-код для уязвимости нулевого дня в ОС Windows, активно эксплуатируемой злоумышленниками совместно с уязвимостью CVE-2020-15999 в браузере Google Chrome ( исправлена в версии 86.0.4240.111).
Как пояснили эксперты, CVE-2020-15999 позволила хакерам запустить вредоносный код в браузере, в то время как время как 0Day-уязвимость в Windows ( CVE-2020-17087 ) использовалась для выхода за пределы песочницы Chrome и запуска кода в операционной системе. Специалисты не раскрыли подробности об атаках, эксплуатировавших данные уязвимости. Известно лишь, что они не касаются предстоящих выборов в США.
Google описывает CVE-2020-17087 как уязвимость повышения привилегий в ядре Windows. Проблема затрагивает все версии Windows, начиная с «семерки» и заканчивая недавним релизом Windows 10.
Команда Google предоставила Microsoft семь дней на исправление уязвимости, но компания не уложилась в отведенный срок, в результате специалисты обнародовали информацию о проблеме. Ожидается, что Microsoft исправит CVE-2020-17087 в рамках ноябрьского релиза обновлений безопасности, запланированного на 10 ноября.