Project Zero van Google publiceert een zero day-lek in Windows 10 nog voor Microsoft een patch kon voorzien. Volgens Google was wachten niet aan de orde aangezien hackers de bug al actief misbruiken.
Hackers maken misbruik van een tot voor kort onbekende bug in Windows 10. Dat ontdekte de beveiligingsonderzoekers van Project Zero van Google. De kwetsbaarheid heet CVE-2020-117087 en ze laat aanvallers toe om malware te draaien om kwetsbare machines. Google ontdekte de bug vorige week maar gaf Microsoft slechts zeven dagen de tijd om te reageren. Doorgaans gaat het om 90 dagen maar Project Zero houdt zich historisch gezien niet aan die regel voor achterpoortjes die al gekend zijn bij hackers.
CVE-2020-117087 heeft betrekking op een buffer overflow-fout in een deel van Windows verantwoordelijk voor cryptografische functies. De fout ligt bij de Windows Kernel Cryptography Driver (cgn.sys). De bug werkt enkel in tandem met een fout in Google Chrome die Google eerder zelf ontdekte. Voor die kwetsbaarheid lanceerde de internetgigant zelf al een patch.
Wachten op een patch
Google redeneert dat het wel verantwoord is om het bestaan van het lek van de daken te schreeuwen voor Microsoft een patch kan uitbrengen omdat enerzijds de relevante Chrome-bug al een patch heeft, en anderzijds de technische details beveiligingsspecialisten de optie geven om mitigatiestrategieën uit te werken. Microsoft zelf plant later deze maand tijdens Patch Tuesday een oplossing uit te rollen.
Voorlopig is er dus nog niet zo veel dat je kan doen om de fout in Windows te verhelpen. Microsoft argumenteert dat het een minimum aan tijd nodig heeft om een kwaliteitsvolle patch uit te werken die voor alle gebruikers werkt. In principe volstaat het om Google Chrome naar de recentste versie te updaten of een andere browser te gebruiken om veilig te zijn.