Обнаруженную в Windows 10 ошибку «нулевого дня» исправлять не торопятся

Команда Google Project Zero обнаружила уязвимость «нулевого дня» в операционной системе (ОС) Windows, написал 30 октября технический руководитель Project Zero Бен Хоукс в своем микроблоге в социальной сети Twitter.

По его словам, уязвимость была обнаружена в ОС Windows 10, однако, вероятно, ошибка содержалась в коде, как минимум, начиная с ОС Windows 7. Уязвимость CVE-2020-17087 связана с работой драйвера Windows Kernel Cryptography Driver (cng.sys).

Отмечается, что ошибка может вызвать сбой системы, но в некоторых случаях может использоваться хакерами для повышения собственных привилегий в системе или выхода из «песочницы». Данная ошибка активно применяется злоумышленниками, отметили исследователи.

При этом компания Microsoft намерена исправить ошибку только 10 ноября в ходе выпуска планового обновления для Windows 10.