GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表

GoogleのProject Zeroは10月30日、Windowsカーネルのゼロデイ脆弱性(CVE-2020-17087)を公表した(Project Zero - Issue 2104、 The Registerの記事、 Neowinの記事、 BetaNewsの記事)。

この脆弱性はWindowsカーネルの暗号処理ドライバー(cng.sys)に存在するバッファーオーバーフローの脆弱性で、
悪用するとローカルでの特権昇格が可能になる。PoCは最新のパッチ適用済みの64ビット版
Windows 10 バージョン1903でテストされているが、脆弱性は少なくともWindows 7以降に存在するとみられる。

修正は11月の月例更新で提供される見込みだが、この脆弱性を悪用する攻撃が既に確認されているため
開示期限はベンダーへの報告から90日後ではなく、7日後となっている。確認されている攻撃は標的型攻撃で、
米国の選挙を標的にしたものではないという。Chromiumベースのブラウザーの
脆弱性(CVE-2020-15999)と連携してリモートからの攻撃も可能とのことだが、
こちらはChrome 86.0.4240.111で修正済みだ。

https://security.srad.jp/story/20/11/01/0317226/