パスワードを忘れた? アカウント作成
14975898 submission
セキュリティ

GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表

タレコミ by headless
headless 曰く、

GoogleのProject Zeroは10月30日、Windowsカーネルのゼロデイ脆弱性(CVE-2020-17087)を公表した(Project Zero - Issue 2104The Registerの記事Neowinの記事BetaNewsの記事)。

この脆弱性はWindowsカーネルの暗号処理ドライバー(cng.sys)に存在するバッファーオーバーフローの脆弱性で、悪用するとローカルでの特権昇格が可能になる。PoCは最新のパッチ適用済みの64ビット版Windows 10 バージョン1903でテストされているが、脆弱性は少なくともWindows 7以降に存在するとみられる。

修正は11月の月例更新で提供される見込みだが、この脆弱性を悪用する攻撃が既に確認されているため開示期限はベンダーへの報告から90日後ではなく、7日後となっている。確認されている攻撃は標的型攻撃で、米国の選挙を標的にしたものではないという。Chromiumベースのブラウザーの脆弱性(CVE-2020-15999)と連携してリモートからの攻撃も可能とのことだが、こちらはChrome 86.0.4240.111で修正済みだ。

この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...