Специалисты команды Google Project Zero сообщили об опасной уязвимости нулевого дня в Windows. При этом, Microsoft планирует устранить проблему только в следующем месяце, когда будет выпущено плановое обновление безопасности.
Как сообщает 3D News, речь идёт об уязвимости CVE-2020-17087, которая связана с работой одной из функций Windows Kernel Cryptography Driver (cng.sys) и относится к категории багов переполнения буфера.
Исследователи отмечают, что данная уязвимость активно используется злоумышленниками на практике.
Так, уязвимость нулевого дня в Windows эксплуатировалась вместе с уязвимостью CVE-2020-15999 в браузере Google Chrome. Ее также обнаружили несколько дней назад. Хакеры использовали уязвимость для выполнения вредоносного кода внутри браузера, тогда как уязвимость Windows делает возможным выход за пределы песочницы Chrome с последующим выполнением кода на уровне системы.
Проблема затрагивает разные версии программной платформы, начиная с Windows 7 и заканчивая недавними стабильными сборками Windows 10. Исправление для CVE-2020-17087 должно быть выпущено Microsoft 10 ноября вместе с плановым обновлением безопасности. Что касается уязвимости Chrome, то она уже была устранена.
Что такое уязвимость нулевого дня
В сфере кибербезопасности проблема, или уязвимость нулевого дня (Zero-day / 0day) - это уязвимость ПО, которая еще неизвестна пользователям или разработчикам. Против нее еще не разработаны механизмы защиты.
