Google раскрыла данные про 0day-уязвимость в Windows 10 до выхода патча

Уязвимость, получившую кодовое обозначение CVE-2020-17087, обнаружило ИБ-подразделение Google Project Zero. Она затрагивает версии Windows 7 и 10.

По словам команды, баг может использоваться для повышения привилегий в Windows. Он работает в паре с ещё одним багом в Chrome, который Google закрыла две недели назад. Новый баг позволяет злоумышленникам выйти за пределы песочницы Chrome, изолированного от остальных приложений, и запускать на устройстве жертвы вредоносное ПО.

По сообщению техлида Project Zero Бена Хокса в Твиттере, Microsoft планирует выпустить патч 10 ноября.

Microsoft заявила, что хотя старается уложиться даже в самые сжатые сроки, выставленные исследователями безопасности для исправления проблем в её продуктах, она заботится ещё и о качестве патчей, чтобы обеспечить максимальную защиту пользователей.

Какие хакеры и в каких целях эксплуатируют баг, Google не сказала. Но уточнила, что атаки таргетированные и не связаны с президентскими выборами в США. В Microsoft тоже добавили, что атаки целевые и очень немногочисленные — свидетельств широкой эксплуатации бага в реальных условиях у компании нет.