Дослідники з команди Google Project Zero, які працюють в сфері інформаційної безпеки, опублікували дані про небезпечну уразливість нульового дня в Windows. Уразливість може використовуватися для виходу за межі пісочниці або підвищення привілеїв всередині системи. Примітно, що Microsoft планує усунути проблему тільки в наступному місяці, коли буде випущено планове оновлення безпеки.
Мова йде про уразливість CVE-2020-17087, яка пов’язана з роботою однієї з функцій Windows Kernel Cryptography Driver (cng.sys) і відноситься до категорії багів переповнення буфера. Дослідники також відзначають, що дана уразливість активно використовується зловмисниками на практиці. Подробиці щодо даної уразливості поки не розкриваються, але дослідники говорять про те, що виявлені випадки її експлуатації ніяк не пов’язані з майбутніми виборами президента США.
Згідно з наявними даними, уразливість нульового дня в Windows експлуатувалася разом з уразливістю CVE-2020-15999 в браузері Google Chrome, яку кілька днів тому виявили фахівці Project Zero. Уразливість Chrome застосовується хакерами для виконання шкідливого коду всередині браузера, тоді як вразливість Windows робить можливим вихід за межі пісочниці Chrome з подальшим виконанням коду на рівні системи.
Проблема зачіпає різні версії програмної платформи, починаючи з Windows 7 і закінчуючи недавніми стабільними збірками Windows 10. Виправлення для CVE-2020-17087 має бути випущено Microsoft 10 листопада разом з плановим оновленням безпеки, які виходять в рамках програми Patch Tuesday. Що стосується вразливості Chrome, то вона вже була усунена в останній версії браузера.