У Windows знайшли небезпечну уразливість нульового дня

Команда Google Project Zero знайшла в Windows знайшли небезпечну уразливість нульового дня. Microsoft усуне її тільки з наступним плановим оновленням безпеки.

Уразливість назвали CVE-2020-17087. Вона пов’язана з роботою Windows Kernel Cryptography Driver (cng.sys). Уразливість відноситься до Багам переповнення буфера. Зловмисники можуть використовувати її для підвищення привілеїв і виходу за межі пісочниці. Повідомляється, що уразливість вже застосовують для атак.

Проблема стосується багатьох версій Windows, починаючи з Windows 7. Експерти розповіли, що уразливість використовували в поєднанні з іншого – CVE-2020-15999, яку нещодавно виявили в Google Chrome. За допомогою останньої зловмисники запускали шкідливий код всередині браузера. Потім за допомогою CVE-2020-17087 виконували код на рівні операційної системи.

Виправлення вразливості очікується 10 листопада.