O Google lança dados sobre a vulnerabilidade de dia zero do Windows antes de sua correção

Pesquisadores da equipe do Google Project Zero, que trabalham na área de segurança da informação, publicaram dados sobre uma perigosa vulnerabilidade de dia zero no Windows. A vulnerabilidade pode ser usada para escapar da sandbox ou para escalar privilégios dentro do sistema. Notavelmente, a Microsoft planeja corrigir o problema apenas no próximo mês, quando uma atualização de segurança planejada for lançada.

Estamos a falar da vulnerabilidade CVE-2020-17087, que está associada ao funcionamento de uma das funções do Windows Kernel Cryptography Driver (cng.sys) e pertence à categoria de bugs de buffer overflow. Os pesquisadores também observaram que essa vulnerabilidade é ativamente usada por cibercriminosos na prática. Detalhes sobre esta vulnerabilidade ainda não foram divulgados, mas os pesquisadores afirmam que os casos identificados de sua exploração nada têm a ver com as próximas eleições presidenciais nos Estados Unidos.

Segundo relatos, a vulnerabilidade de dia zero do Windows foi explorada junto com a vulnerabilidade CVE-2020-15999 no navegador Google Chrome, que foi descoberta pelo Project Zero alguns dias atrás. A vulnerabilidade do Chrome é explorada por hackers para executar código malicioso dentro do navegador, enquanto a vulnerabilidade do Windows pode permitir que ele escape da sandbox do Chrome e execute o código no nível do sistema.

O problema afeta diferentes versões da plataforma de software, começando com Windows 7 e terminando com compilações estáveis ​​recentes do Windows 10. A correção para CVE-2020-17087 deve ser lançada pela Microsoft em 10 de novembro, junto com a atualização de segurança planejada, que será lançada como parte do programa Patch Tuesday. Quanto à vulnerabilidade do Chrome, ela já foi corrigida na versão mais recente do navegador.