جوجل تكشف ثغرة أمنية تخترق ويندوز
قالت شركة جوجل اليوم إن لديها دليلًا على عمليات استغلالٍ نشطة للثغرة الأمنية المتكشفة في نظام ويندوز، التي تسمح للمهاجمين بتنفيذ تعليمات برمجية بأذونات متقدمة.
والأمر المثير للاهتمام هو أن الثغرة الأمنية التي يجري تتبعها باستخدام التسمية (CVE-2020-17087)، إلى جانب ثغرة أخرى استُغلّت بنشاط في متصفح كروم وقد كُشف عنها الأسبوع الماضي CVE-2020-15999، تؤدي ما يُعرف باسم الهروب من وضع الحماية، حيث يستفيد فيه المجرم الإلكتروني من هاتين الثغرتين لتنفيذ التعليمات البرمجية في هدف مخترق عن طريق الهروب من البيئة الآمنة للمتصفح، وذلك وفق ما أوضح (كاتالين سيمبانو) من موقع (ZDNet) التقني.
ويضيف منشور الكشف أيضًا أن مايكروسوفت ستصلح هذه الثغرة الأمنية من خلال تحديثات Tuesday Patch القادم في 10 نوفمبر. ومع ذلك، فإن إصلاحات إصدارات ويندوز 7 ستجعلها فقط للمستخدمين الذين اشتركوا في تحديثات الأمان الموسعة (ESU)؛ لذلك لن يتمكن جميع المستخدمين من إصلاح المشكلة في أنظمة ويندوز 7 الخاصة بهم. ونظرًا إلى استغلال الثغرة على نحو نشط، قدّم فريق عملاقة البحث لشركة مايكروسوفت سبعة أيام لتصحيح الخطأ قبل الكشف عنه علنًا اليوم.
وقامت جوجل بالفعل بتصحيح الثغرة الأمنية في متصفح كروم بإصدار النسخة المستقرة (86.0.4240.1111) من المتصفح.
وبالنسبة إلى ثغرة ويندوز، تكمن الثغرة الأمنية في برنامج تشغيل تشفير Windows Kernel (cng.sys)، الذي يشرحه فريق (Project Zero) بالتفصيل في المنشور. وقامت الشركة أيضًا بإرفاق رمز إثبات المفهوم لإظهار كيف يمكن أن يؤدي الاستغلال إلى تعطل النظام.
والأمر المثير للاهتمام هو أن الثغرة الأمنية التي يجري تتبعها باستخدام التسمية (CVE-2020-17087)، إلى جانب ثغرة أخرى استُغلّت بنشاط في متصفح كروم وقد كُشف عنها الأسبوع الماضي CVE-2020-15999، تؤدي ما يُعرف باسم الهروب من وضع الحماية، حيث يستفيد فيه المجرم الإلكتروني من هاتين الثغرتين لتنفيذ التعليمات البرمجية في هدف مخترق عن طريق الهروب من البيئة الآمنة للمتصفح، وذلك وفق ما أوضح (كاتالين سيمبانو) من موقع (ZDNet) التقني.
ويضيف منشور الكشف أيضًا أن مايكروسوفت ستصلح هذه الثغرة الأمنية من خلال تحديثات Tuesday Patch القادم في 10 نوفمبر. ومع ذلك، فإن إصلاحات إصدارات ويندوز 7 ستجعلها فقط للمستخدمين الذين اشتركوا في تحديثات الأمان الموسعة (ESU)؛ لذلك لن يتمكن جميع المستخدمين من إصلاح المشكلة في أنظمة ويندوز 7 الخاصة بهم. ونظرًا إلى استغلال الثغرة على نحو نشط، قدّم فريق عملاقة البحث لشركة مايكروسوفت سبعة أيام لتصحيح الخطأ قبل الكشف عنه علنًا اليوم.
وقامت جوجل بالفعل بتصحيح الثغرة الأمنية في متصفح كروم بإصدار النسخة المستقرة (86.0.4240.1111) من المتصفح.
وبالنسبة إلى ثغرة ويندوز، تكمن الثغرة الأمنية في برنامج تشغيل تشفير Windows Kernel (cng.sys)، الذي يشرحه فريق (Project Zero) بالتفصيل في المنشور. وقامت الشركة أيضًا بإرفاق رمز إثبات المفهوم لإظهار كيف يمكن أن يؤدي الاستغلال إلى تعطل النظام.