Via son Project Zero, Google a publié vendredi les détails d’une faille (CVE-2020-17087) affectant toutes les versions de Windows depuis 7, y compris la dernière révision 20H2 de Windows 10.
Google l’a trouvée car elle est exploitée en conjonction d’une faille de Chrome (CVE-2020-15999). Ensemble, elles permettent à un pirate de s’échapper de la sandbox du navigateur et d’obtenir des privilèges supplémentaires pour exécuter du code.
La vulnérabilité étant déjà exploitée, les détails de la faille ont été publiés sept jours seulement après avertissement à Microsoft. La société a répondu que le correctif serait distribué le 10 novembre, jour du prochain Patch Tuesday.
La brèche réside dans le Kernel Cryptography Driver (cng.sys). Google en fournit des informations détaillées dans sa publication, ainsi qu’un proof-of-concept dont le code peut être téléchargé. La faille dans Chrome a été corrigée il y a deux semaines dans la mouture 86.0.4240.1111 du navigateur.
Shane Huntly, directeur du Threat Analysis Group chez Google, a précisé que l’exploitation de ces deux failles n’était pas liée aux élections américaines.