Windows 10-lek wordt actief misbruikt, zegt Googles Project Zero

Microsoft heeft 7 dagen de tijd gehad om het probleem aan te pakken maar heeft nog geen patch voorhanden, meldt Ars Technica. Team Zero hanteert een dergelijk strak schema alleen bij ontdekte fouten waarvan misbruik 'in het wild' is aangetoond. Normaal krijgen softwarebedrijven na ontdekking van een fout 90 dagen de tijd om het probleem te herstellen. Het team meldt de kwetsbaarheid publiekelijk na afloop van die periode of zoveel eerder als een patch beschikbaar is.

Microsoft erkent het bestaan van de kwetsbaarheid maar bestrijdt dat deze op grote schaal wordt misbruikt. Het bedrijf verwacht een patch beschikbaar te hebben op 10 november, die dan ook op die dag met de reguliere Patch Tuesday wordt verspreid.

Windows 10 crasht

De kwetsbaarheid wordt in detail omschreven in CVE-2020-17087. Het gaat om een softwarefout die aanleiding geeft tot een buffer overflow in de cryptografische functies van Windows 10 en Windows 7. Via de input/output-controllers is het mogelijk code te injecteren in een onderdeel van Windows dat de mogelijkheid geeft deze code uit te voeren.

Kwaadwillenden hebben zo een manier om extra rechten op de pc te krijgen door uit de 'sandbox' te komen. Het Project Zero heeft ook een proof-of-concept gemaakt die Windows 10 kan laten vastlopen door gebruik te maken van deze kwetsbaarheid. Microsoft heeft geen mogelijkheden aangegeven hoe Windows 10- gebruikers deze kwetsbaarheid tijdelijk zouden kunnen afdichten.