У Windows виявлено нову небезпечну уразливість нульового дня

Команда Google Project Zero знайшла у Windows небезпечну уразливість нульового дня. Microsoft усуне її тільки з наступним плановим оновленням безпеки.

Уразливість назвали CVE-2020-17087. Вона пов’язана з роботою Windows Kernel Cryptography Driver (cng.sys). Уразливість відноситься до Багів переповнення буфера. Зловмисники можуть використовувати її для підвищення привілеїв і виходу за межі пісочниці. Повідомляється, що уразливість вже застосовують для атак.

Проблема стосується багатьох версій Windows, починаючи з Windows 7. Що цікаво, свіжий баг використовувався в поєднанні з іншою 0-day вразливістю: CVE-2020-15999, виявленою зовсім нещодавно в Google Chrome. Так, вразливість в Chrome використовувалася для запуску шкідливого коду всередині Chrome, а нульовий день в Windows пускав в хід під час другої частини атаки, що дозволяло зловмисникам покинути безпечний контейнер Chrome і виконати код вже на рівні ОС (тобто здійснити втечу з пісочниці).

Патчу для уразливості поки немає, і Бен Хоукс (Ben Hawkes) повідомляє в Twitter, що реліз виправлення очікується лише в наступний «вівторок оновлень», тобто 10 листопада 2020 року.

.