Команда Google Project Zero обнаружила уязвимость нулевого дня в Windows, которая затрагивает версии системы от Windows 7 до Windows 10 версии 1903. Известно, что данная уязвимость связана с работой Windows Kernel Cryptography Driver (cng.sys). Уязвимость позволяет локально повышать привилегии и выходить из песочницы.




Специалисты заявляют, что уязвимость в Windows, которой присвоен код CVE-2020-17087, активно эксплуатируется злоумышленниками в сочетании с другой уязвимостью нулевого дня в браузере Google Chrome (CVE-2020-15999). Таким образом, на первом этапе атаки производится запуск вредоносного кода в Chrome, а на втором этапе уязвимость в Windows позволяет вредоносному коду покинуть песочницу и начать выполняться на уровне ОС.

Уязвимость в браузере Google Chrome была устранена в стабильной сборке браузера под номером 86.0.4240.1111. Исправление уязвимости в Windows будет выпущено 10 ноября в рамках «патчевого вторника». Однако для Windows 7 соответствующее обновление будет доступно только платные подписчики программы Extended Security Updates (ESU).

Команда Google Project Zero занимается исследованием вопросов безопасности различного программного обеспечения, выпускаемого как непосредственно Google, так и другим компаниями.