Il team di analisti di Project Zero di Google ha scoperto una nuova vulnerabilità che colpisce il sistema operativo Windows che consente agli aggressori di aggirare la sicurezza e installare “software” dannoso.
La vulnerabilità è stata denominata “CVE-2020-17087” e interessa le versioni 7 e 10 del sistema operativo Microsoft ed è correlata al funzionamento del driver crittografico del kernel di Windows (cng.sys).
Gli aggressori possono utilizzare “CVE-2020-17087” in combinazione con un’altra vulnerabilità “zero-day” (CVE-2020-15999) recentemente scoperta nel browser Google Chrome e ora risolta.
Il capo tecnico di Project Zero, Ben Hawkes, ha pubblicato sul suo account Twitter che una patch per quel problema nel sistema operativo di Microsoft sarebbe stata disponibile dal 10 novembre. Inoltre, ha sottolineato che questa vulnerabilità è uno “sfruttamento selettivo” e che non è collegata alle elezioni presidenziali statunitensi.