Vulnerabilità critica "Zero-Day" rilevata in Windows.

Il team di analisti di Project Zero di Google ha scoperto una nuova vulnerabilità che colpisce il sistema operativo Windows che consente agli aggressori di aggirare la sicurezza e installare “software” dannoso.

La vulnerabilità è stata denominataCVE-2020-17087” e interessa le versioni 7 e 10 del sistema operativo Microsoft ed è correlata al funzionamento del driver crittografico del kernel di Windows (cng.sys).

Gli aggressori possono utilizzare “CVE-2020-17087” in combinazione con un’altra vulnerabilità “zero-day” (CVE-2020-15999) recentemente scoperta nel browser

Google Chrome e ora risolta. Questa combinazione consente a un hacker di sfuggire alla sandbox di Chrome ed eseguire “malware” sul sistema operativo.

Il capo tecnico di Project Zero, Ben Hawkes, ha pubblicato sul suo account Twitter che una patch per quel problema nel sistema operativo di Microsoft sarebbe stata disponibile dal 10 novembre. Inoltre, ha sottolineato che questa vulnerabilità è uno “sfruttamento selettivo” e che non è collegata alle elezioni presidenziali statunitensi.