Google heeft details openbaar gemaakt over een zerodaylek in de Windows-kernel dat actief wordt aangevallen en een beveiligingsupdate van Microsoft is nog niet beschikbaar. Mogelijk is het Windows-lek in combinatie met een ander zerodaylek gebruikt om Chrome-gebruikers aan te vallen.
Via de kwetsbaarheid die in Windows 7 tot Windows 10 aanwezig is kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen of uit een sandbox ontsnappen. Het beveiligingslek werd op 22 oktober aan Microsoft gerapporteerd. Normaliter geeft Google ontwikkelaars en bedrijven negentig dagen de tijd om gerapporteerde kwetsbaarheden te verhelpen. Aangezien het om een actief aangevallen beveiligingslek gaat hanteert Google een deadline van zeven dagen.
Microsoft heeft in die zeven dagen geen beveiligingsupdate uitgebracht, waarop Google de details van het lek, aangeduid als CVE-2020-17087, openbaar maakte. Google verwacht dat er op 10 november een update voor de kwetsbaarheid zal verschijnen. Microsoft brengt elke tweede dinsdag van elke maand beveiligingsupdates uit en wijkt daar alleen vanaf als kwetsbaarheden bijvoorbeeld op grote schaal worden aangevallen. Volgens Google is het lek bij gerichte aangevallen ingezet. Het door Google onthulde zerodaylek kan daarnaast alleen in combinatie met een ander lek of vanaf een al gecompromitteerd systeem worden gebruikt, wat de impact beperkt.
Op dinsdag 20 oktober patchte Google een actief aangevallen zerodaylek in Chrome. Die kwetsbaarheid alleen is niet voldoende om systemen te compromitteren en moet voor dat doel met een ander lek worden gecombineerd. Het kan dan om het nu onthulde zerodaylek in Windows gaan. Vorig jaar werd een soortgelijk lek in Windows gecombineerd met een Chrome-lek om gebruikers van Googles browser aan te vallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.