Il team di ricerca Google Project Zero ha reso pubblica una nuova falla all’interno del codice di Windows, non ancora corretta da Microsoft.
11 NOVEMBRE 2020 | A dieci giorni dalla pubblicazione da parte di Google, Microsoft ha comunicato di aver corretto la falla 0-day CVE-2020-17087 con l’aggiornamento cumulativo di novembre di Windows.
Falla 0-day del kernel non patchata
Non è la prima volta che accade, in passato Google aveva già rivelato alcune vulnerabilità di Windows prima che Microsoft riuscisse a correggerle con una patch di sicurezza. Al momento la falla CVE-2020-17087 riguarda una possibile perdita di dati dal buffer del kernel di Windows, che è potenzialmente sfruttabile da malintenzionati per ottenere privilegi elevati di accesso al sistema.
Currently we expect a patch for this issue to be available on November 10. We have confirmed with the Director of Google's Threat Analysis Group, Shane Huntley (@ShaneHuntley), that this is targeted exploitation and this is not related to any US election related targeting.
— Ben Hawkes (@benhawkes) October 30, 2020
Stando a quanto riporta il ricercatore, Microsoft dovrebbe correggere la falla con una patch di sicurezza prevista per il prossimo 10 novembre, in occasione del consueto patch tuesday.
Ritenete che Windows sia un sistema operativo sicuro? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonte | BleepingComputer