Google enthüllt Details zu ungepatchtem Zero-Day-Bug in Windows 10
Googles Projekt Zero hat Proof-of-Concept-Code für eine Pufferüberlauf-Lücke im Windows 10-Kernel veröffentlicht, die zur lokalen Rechteerweiterung ausgenutzt werden kann, um Malware auf dem Betriebssystem auszuführen. In Kombination mit einem kürzlich gepatchten Fehler in Chrome würde dies es Web-Malware ermöglichen, der Chrome-Sandbox zu entkommen und die vollständige Kontrolle über einen PC zu übernehmen.
Google gab an, dass die Schwachstelle (CVE-2020-17087) "in the wild" ausgenutzt wurde, und gab Microsoft nur 7 Tage Zeit, sie zu patchen - eine Frist, die wenig überraschend ohne einen Patch verstrichen ist.
Nach Angaben des technischen Leiters von Project Zero, Ben Hawkes, plant Microsoft, am 10. November einen Patch herauszugeben.
Während die Schwachstelle "in the wild" ausgenutzt wird, sagten sowohl Google als auch Microsoft, die Angriffe seien "zielgerichtet" gewesen, wenn auch nicht im Zusammenhang mit der US-Wahl.
Ein Microsoft-Sprecher sagte, der gemeldete Angriff sei "sehr begrenzt und zielgerichtet, und wir haben keine Hinweise auf eine weit verbreitete Nutzung gesehen".
Jetzt, da der Proof-of-Concept-Code veröffentlicht worden ist, wird dies natürlich wahrscheinlich nicht mehr der Fall sein.
Es wird angenommen, dass der Fehler Windows-Versionen betrifft, die bis zu Windows 7 zurückreichen, und auch alle vollständig gepatchten Versionen von Windows 10.
In einer Erklärung sagte Microsoft:
Microsoft hat sich gegenüber seinen Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte zu aktualisieren, um die Kunden zu schützen. Während wir daran arbeiten, die Fristen aller Forscher für Offenlegungen einzuhalten, einschließlich kurzfristiger Fristen wie in diesem Szenario, ist die Entwicklung eines Sicherheitsupdates ein Gleichgewicht zwischen Pünktlichkeit und Qualität, und unser letztendliches Ziel ist es, einen maximalen Kundenschutz bei minimaler Beeinträchtigung der Kunden zu gewährleisten.
über TechCrunch