Agencias / Ciudad de México.- El equipo de analistas de Project Zero de Google descubrió una nueva vulnerabilidad que afecta al sistema operativo Windows que permite a los atacantes eludir la seguridad e instalar un ‘software’ malicioso.
La vulnerabilidad ha sido etiquetada como ‘CVE-2020-17087‘ y afecta a las versiones 7 y 10 del sistema operativo de Microsoft, y está relacionada con el funcionamiento del controlador de criptografía del kernel de Windows (cng.sys).
Los atacantes pueden usar el ‘CVE-2020-17087’ en combinación con otra vulnerabilidad de ‘día cero’ (CVE-2020-15999) recientemente descubierta en el navegador Google Chrome y que ya ha sido solucionada. Esa combinación permite a un pirata informático escapar de la zona de pruebas de Chrome y ejecutar un ‘malware’ en el sistema operativo.
El jefe técnico de Project Zero, Ben Hawkes, publicó en su cuenta de Twitter que un parche para ese problema en el sistema operativo de Microsoft estaría disponible a partir del 10 de noviembre. Además, destacó que esa vulnerabilidad es una “explotación selectiva” y que no está relacionada con las elecciones presidenciales de EE.UU.
In addition to last week's Chrome/freetype 0day (CVE-2020-15999), Project Zero also detected and reported the Windows kernel bug (CVE-2020-17087) that was used for a sandbox escape. The technical details of CVE-2020-17087 are now available here: https://t.co/bO451188Mk
— Ben Hawkes (@benhawkes) October 30, 2020
