Microsoft được cho là đang chuẩn bị một bản sửa lỗi vào giữa tháng 11, vượt xa thời hạn mà Google đề xuất ban đầu.


Google đã tiết lộ chi tiết về một lỗi Windows zero-day mới mà họ cho biết hiện đang bị tin tặc khai thác.

Lỗ hổng bảo mật, chưa được đặt tên, đã được phân loại là CVE-2020-17087. Trang phục bảo mật Project Zero của Google đã đến kho lưu trữ Chromium của mình để đăng lỗ hổng bảo mật, yêu cầu Microsoft giải quyết vấn đề trong một tuần. Microsoft đã không thực hiện được và như vậy lỗ hổng đã được công bố cho tất cả mọi người cùng xem.

Cả hai nền tảng Windows 10 và Windows 7 đều bị ảnh hưởng bởi lỗi này, cho phép những kẻ tấn công tiềm năng liên tục báo cáo loại quyền truy cập của người dùng mà họ có trong Windows. Các tác nhân xấu sẽ sử dụng lỗ hổng này song song với một lỗi trong Chrome mà Google trước đó đã tiết lộ và giải quyết vào tuần trước. Lỗi được thảo luận trong tuần này cho phép những kẻ tấn công tiềm năng trốn thoát khỏi Chrome và thực thi phần mềm độc hại trên Windows 10.

Microsoft đã lên kế hoạch phát hành bản vá vào ngày 10 tháng 11, theo Ben Hawkes, trưởng nhóm kỹ thuật của Project Zero. Tuy nhiên, Microsoft đã không xác nhận hoặc phủ nhận ngày này với TechCrunch khi được yêu cầu bình luận.

"Microsoft có cam kết với khách hàng là điều tra các vấn đề bảo mật được báo cáo và cập nhật các thiết bị bị ảnh hưởng để bảo vệ khách hàng", công ty cho biết trong một tuyên bố. "Mặc dù chúng tôi làm việc để đáp ứng tất cả các thời hạn tiết lộ của các nhà nghiên cứu, bao gồm cả thời hạn ngắn hạn như trong trường hợp này, nhưng việc phát triển bản cập nhật bảo mật là sự cân bằng giữa tính kịp thời và chất lượng. . "

YN