Google Project Zero 團隊早前公開了 Windows 系統內的零日漏洞(0-day exploit),該漏洞會影響 Windows 7 至 Windows 10 ver.1903 系統版本。在 Google 的官方網誌中,團隊表示有證據顯示有不法份子已經利用漏洞進行攻擊,透過提升權限遙距執行代碼。
Project Zero 團隊將這個零日漏洞標示為 CVE-2020-17087,只要配合早前公開的 Chrome 瀏覽器零日漏洞 CVE-2020-15999 一同使用,不法份子就能夠避開瀏覽器的安全環境,向受感染的目標裝置進行攻擊和執行代碼。Google 在網誌中表示,Microsoft 將會在 11 月 10 日釋出更新檔修復漏洞,不過 Windows 7 系統的支援已經停止,除非用戶訂閱了擴展安全更新,否則漏洞將不會被修復。
這個漏洞位於 Windows 內核密碼驅動程序(cng.sys)內,至於 Chrome 的零日漏洞,Google 在最新的 ver 86.0.4240.1111 版本更新中已經修復。
來源:techcrunch