Microsoft dicht maar liefst 112 lekken op Patch Tuesday

De door Google gevonden fout - die in kwetsbaarhedendatabase CVE onder nummer CVE-2020-17087 is opgenomen - valt in combinatie te gebruiken met een zero day in Chrome, die al wel eerder gedicht werd. De zero day in Chrome werd door aanvallers gebruikt om malafide code in de browser te draaien. Vervolgens werd de fout in Windows ingezet om uit de sandbox van Chrome te komen en de privileges van de malwarecode te verhogen, zodat het onderliggende besturingssysteem gecompromitteerd kon worden.

Google ontdekte de fout halverwege oktober en gaf Microsoft zeven dagen om een patch te publiceren. Normaliter hanteert Project Zero een langere periode voordat het tot publieke onthulling overgaat, maar dat is ingekort tot een week vanwege het feit dat aanvallers deze kwetsbaarheid zelf al hadden ontdekt en misbruikten. Dat gebeurde voor gerichte aanvallen, die echter niet gerelateerd zijn aan de Amerikaanse presidentsverkiezingen, aldus directeur Shane Huntley van Google's Threat Analysis Group.

Deadline niet gehaald

De door Project Zero gestelde deadline van 7 dagen voor het uitbrengen van een patch is echter niet gehaald door Microsoft. Het maken en testen van een patch voor Microsoft-producten kost meer tijd, waardoor deze nu pas uitkomt, schrijft ZDNet. 

Naast deze zero day zijn nog 111 andere kwetsbaarheden gedicht in de updatelading van Microsofts Patch Tuesday deze maand. Het gaat onder meer om 24 fouten waarmee remote code execution-aanvallen uitgevoerd kunnen worden in apps als Excel, Sharepoint en Teams. De volledige lijst met gedichte kwetsbaarheden is te vinden in de Security Update Guide van Microsoft.