Фахівці команди Google Project Zero повідомили про небезпечну "уразливість нульового дня" в Windows. При цьому, Microsoft планує усунути проблему лише наступного місяця, коли буде випущено планове оновлення безпеки.
Як повідомляє 3D News, мова йде про вразливість CVE-2020-17087, яка пов'язана з роботою однієї з функцій Windows Kernel Cryptography Driver (cng.sys) і належить до категорії багів переповнення буфера.
Дослідники відзначають, що дана вразливість активно використовується зловмисниками на практиці.
Так, уразливість нульового дня в Windows експлуатувалася разом з уразливістю CVE-2020-15999 в браузері Google Chrome. Її також виявили кілька днів тому. Хакери використовували уразливість для виконання шкідливого коду всередині браузера, тоді як вразливість Windows уможливлює вихід за межі пісочниці Chrome з подальшим виконанням коду на рівні системи.
Проблема зачіпає різні версії програмної платформи, починаючи з Windows 7 і завершуючи нещодавніми стабільними збірками Windows 10. Виправлення для CVE-2020-17087 має бути випущено Microsoft 10 листопада разом з плановим оновленням безпеки. Що стосується вразливості Chrome, то вона вже була усунена.
Що таке вразливість нульового дня
У сфері кібербезпеки проблема, або вразливість нульового дня (Zero-day / 0day) - це вразливість ПО, що ще невідома користувачам чи розробникам. Проти неї ще не розроблені механізми захисту.
