Дослідники з команди Google Project Zero, які працюють у сфері інформаційної безпеки, опублікували дані про небезпечну вразливість нульового дня в Windows. Вразливість може використовуватися для виходу за межі пісочниці або підвищення привілеїв всередині системи. Примітно, що Microsoft планує усунути проблему тільки в наступному місяці, коли буде випущено планове оновлення безпеки.
Мова йде про вразливість CVE-2020-17087, яка пов'язана з роботою однієї з функцій Windows Kernel Cryptography Driver (cng.sys) і відноситься до категорії багів переповнення буфера. Дослідники також відзначають, що дана вразливість активно використовується зловмисниками на практиці. Подробиці щодо даної вразливості поки не розкриваються, але дослідники говорять про те, що виявлені випадки її експлуатації ніяк не пов'язані з майбутніми виборами президента США.
Згідно з наявними даними, вразливість нульового дня в Windows експлуатувалася разом з уразливістю CVE-2020-15999 в браузері Google Chrome, яку кілька днів тому виявили фахівці Project Zero. Уразливість Chrome застосовується хакерами для виконання шкідливого коду всередині браузера, тоді як уразливість Windows робить можливим вихід за межі пісочниці Chrome з подальшим виконанням коду на рівні системи.
Проблема зачіпає різні версії програмної платформи, починаючи з Windows 7 і закінчуючи недавніми стабільними збірками Windows 10. Виправлення для CVE-2020-17087 має бути випущено Microsoft 10 листопада разом з плановим оновленням безпеки, що виходить в рамках програми Patch Tuesday. Що стосується вразливості Chrome, то вона вже була усунена в останній версії оглядача.
