Google раскрыла подробности о ранее не известной уязвимости в Windows, которую, как считают в Google, активно используют хакеры. До обнародования информации Google дал Microsoft неделю на устранение уязвимости. Этот срок прошел, и сегодня днем Google опубликовал подробную информацию об уязвимости.
Уязвимость не имеет названия и обозначена как CVE-2020-17087. Баг затрагивает как минимум Windows 7 и Windows 10.
Google Project Zero, элитная группа охотников за ошибками безопасности, которая сделала открытие, заявила, что баг позволяет злоумышленнику повысить привилегии пользователей в Windows. Злоумышленники используют уязвимость Windows вместе с отдельной ошибкой в Chrome, которую Google обнаружила и исправила на прошлой неделе.
Техлид Project Zero Ben Hawkes сообщил, что Microsoft планирует выпустить обновление 10 ноября 2020.
Корпорация Майкрософт не подтвердила эту дату, но в своем заявлении сообщила: «У Microsoft есть обязательство исследовать клиентские сообщения о проблемах безопасности и обновлять затронутые устройства для защиты клиентов. Хотя мы работаем над соблюдением установленных всеми исследователями сроков раскрытия информации, включая краткосрочные сроки, как в этом сценарии, разработка обновления безопасности — это баланс между своевременностью и качеством, и наша конечная цель — помочь обеспечить максимальную защиту клиентов с минимальным вмешательством в работу клиентов.”
Представитель Microsoft также добавил, что атака, о которой сообщается, «носит очень ограниченный и целевой характер, и мы не увидели никаких свидетельств, указывающих на ее широкое распространение».
Это последний из основных недостатков Windows в этом году. В январе 2020 Microsoft заявила, что Агентство национальной безопасности помогло найти криптографический баг в Windows 10, хотя доказательств эксплуатации не было. Но в июне и сентябре 2020 Служба национальной безопасности выпустила предупреждения о двух «критических» ошибках Windows: одна могла распространяться через Интернет, а другая могла получить полный доступ ко всей сети Windows.
Источник: TechCrunch