Исследователи Project Zero корпорации Google опубликовали описание уязвимости нулевого дня в ОС Windows. Также опубликован и демонстрационный код, подтверждающий возможность ее эксплуатации. По словам главы Project Zero Бена Хоукса, уязвимость, получившая идентификатор CVE-2020-17087, уже используется в реальных атаках.
Эти атаки являются двухступенчатыми, эксплуатируя «связку» из двух уязвимостей. Первая из них, CVE-2020-15999, выявлена в браузере Chrome и позволяет дистанционно исполнить произвольный код. Что касается уязвимости Windows, то она дает злоумышленникам возможность выйти за пределы «песочницы» Chrome и запустить этот код на уровне операционной системы с расширенным уровнем привилегий. Уязвимость CVE-2020-17087 затрагивает все версии операционной системы, начиная с Windows 7 и заканчивая последними сборками Windows 10.
Специалисты Google устранили уязвимость Chrome и уведомили о ситуации разработчиков Microsoft, предоставив им 7 дней на ликвидацию проблемs. Однако те не уложились в отведенный срок, после чего информация об уязвимости была опубликована. Предполагается, что патч для ее ликвидации войдет в состав очередного пакета плановых обновлений от Microsoft, который выйдет 10 ноября.