Google обнародовала информацию об уязвимости нулевого дня (0-day) в Windows

Google раскрыла подробности о ранее не известной уязвимости в Windows, которую, как считают в Google, активно используют хакеры. До обнародования информации Google дал Microsoft неделю на устранение уязвимости. Этот срок прошел, и сегодня днем ​​Google опубликовал подробную информацию об уязвимости.

Уязвимость не имеет названия и обозначена как CVE-2020-17087. Баг затрагивает как минимум Windows 7 и Windows 10.

Google Project Zero, элитная группа охотников за ошибками безопасности, которая сделала открытие, заявила, что баг позволяет злоумышленнику повысить привилегии пользователей в Windows. Злоумышленники используют уязвимость Windows вместе с отдельной ошибкой в ​​Chrome, которую Google обнаружила и исправила на прошлой неделе.

Техлид Project Zero Ben Hawkes сообщил, что Microsoft планирует выпустить обновление 10 ноября 2020.

Корпорация Майкрософт не подтвердила эту дату, но в своем заявлении сообщила: «У Microsoft есть обязательство исследовать клиентские сообщения о проблемах безопасности и обновлять затронутые устройства для защиты клиентов. Хотя мы работаем над соблюдением установленных всеми исследователями сроков раскрытия информации, включая краткосрочные сроки, как в этом сценарии, разработка обновления безопасности — это баланс между своевременностью и качеством, и наша конечная цель — помочь обеспечить максимальную защиту клиентов с минимальным вмешательством в работу клиентов.”

Представитель Microsoft также добавил, что атака, о которой сообщается, «носит очень ограниченный и целевой характер, и мы не увидели никаких свидетельств, указывающих на ее широкое распространение».

Это последний из основных недостатков Windows в этом году. В январе 2020 Microsoft заявила, что Агентство национальной безопасности помогло найти криптографический баг в Windows 10, хотя доказательств эксплуатации не было. Но в июне и сентябре 2020 Служба национальной безопасности выпустила предупреждения о двух «критических» ошибках Windows: одна могла распространяться через Интернет, а другая могла получить полный доступ ко всей сети Windows.

Источник: TechCrunch

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *