گوگل جزئیات آسیب پذیری قبلاً نامشخص در ویندوز را رد کرده است ، به گفته خودش هکرها به طور فعال از آن سو استفاده می کنند. در نتیجه ، Google فقط یک هفته به مایکروسافت فرصت داد تا آسیب پذیری را برطرف کند. این مهلت فرا رسید و آمد و گوگل ظهر امروز جزئیات آسیب پذیری را منتشر کرد.
این آسیب پذیری هیچ نامی ندارد اما با عنوان CVE-2020-17087 برچسب خورده است و حداقل روی ویندوز 7 و ویندوز 10 تأثیر می گذارد.
Google’s Project Zero ، گروه نخبه شکارچیان اشکال امنیتی که این کشف را انجام داده اند ، گفت که این اشکال به یک مهاجم اجازه می دهد سطح دسترسی کاربر خود را در ویندوز افزایش دهد. مهاجمان از آسیب پذیری ویندوز همراه با یک اشکال جداگانه در Chrome استفاده می کنند ، که هفته گذشته Google آن را فاش کرد و رفع کرد. این اشکال جدید به یک مهاجم اجازه می دهد تا از جعبه ماسه Chrome که معمولاً از سایر برنامه ها جدا شده است ، فرار کند و بدافزار را روی سیستم عامل اجرا کند.
بن هوکس ، سرپرست فنی Project Zero در یک توییت گفت که مایکروسافت قصد دارد در 10 نوامبر اپدیتی را منتشر کند.
مایکروسافت هنگام پرسیدن این تاریخ را به طور مستقل تأیید نکرد ، اما در بیانیه ای گفت: "مایکروسافت تعهد مشتری در مورد بررسی مشکلات امنیتی گزارش شده و به روزرسانی دستگاه های تحت تأثیر برای محافظت از مشتریان را دارد. در حالی که ما تلاش می کنیم تمام مهلت های محققان برای افشای اطلاعات ، از جمله مهلت های کوتاه مدت مانند این سناریو را رعایت کنیم ، ایجاد یک به روزرسانی امنیتی تعادل بین به موقع بودن و کیفیت است و هدف نهایی ما کمک به اطمینان از حداکثر محافظت از مشتری با حداقل اختلال در خدمات به مشتری است. "
اما مشخص نیست که مهاجمان چه کسانی هستند یا انگیزه های آنها چیست. شین هانتلی ، مدیر اطلاعات تهدیدات گوگل گفت که این حملات "هدفمند" بوده و مربوط به انتخابات ایالات متحده نبوده است.
سخنگوی مایکروسافت همچنین افزود که حمله گزارش شده "ماهیت بسیار محدود و هدفمندی دارد و هیچ مدرکی مبنی بر استفاده گسترده از آن مشاهده نکرده ایم."
این آخرین مورد در لیست اشکالات عمده ای است که امسال در ویندوز تأثیرگذار است. مایکروسافت در ژانویه گفت که آژانس امنیت ملی به یافتن یک اشکال رمزنگاری در ویندوز 10 کمک کرد ، هرچند هیچ مدرکی برای بهره برداری وجود ندارد. اما در ژوئن و سپتامبر ، Homeland Security هشدارهایی را درباره دو اشکال مهم "ویندوز" صادر کرد - یکی که توانایی پخش در اینترنت را داشت و دیگری می توانست دسترسی کامل به کل شبکه ویندوز را بدست آورد.