Una nuova vulnerabilità Zero-Day coinvolge Windows 10 e stavolta è colpa di Chrome.

Nuova vulnerabilità Zero-Day di Chrome e Windows

La vulnerabilità Zero-Day questa volta riguarda Windows 10, ma in particolar modo il browser di Google, utilizzato come cavallo di troia per colpire il sistema operativo Microsoft. Nello specifico, l’attacco denominato Operation WizardOpium sfrutta script di Chrome per scaricare e installare malware su Windows 10.
Come anticipato, il problema è stato prontamente risolto con una patch di sicurezza straordinaria, da parte di Google e Microsoft rispettivamente per le falle CVE-2019-13720 e CVE-2019-1458.

Esiste una vulnerabilità legata all’acquisizione di privilegi più elevati in Windows quando il componente Win32k non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; o creare nuovi account con diritti utente completi.

Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe prima accedere al sistema. Un utente malintenzionato potrebbe quindi eseguire un’applicazione appositamente predisposta in grado di sfruttare la vulnerabilità e assumere il controllo di un sistema interessato.

L’aggiornamento risolve questa vulnerabilità correggendo il modo in cui Win32k gestisce gli oggetti in memoria.

Quest’ultima è stata corretta proprio nelle scorse ore tramite l’aggiornamento cumulativo di dicembre. Vi invitiamo dunque ad aggiornare costantemente il vostro PC per evitare di incorrere in questo genere di problemi.

Cosa ne pensate di questa nuova falla scoperta? Fatecelo sapere lasciando un commento.

Articolo di Windows Blog Italia
Fonte | BleepingComputer