Combinée avec une faille dans Chrome, elle permet de prendre le contrôle d’une machine à distance. Un patch ne devrait être disponible que le 10 novembre.
Les chercheurs en sécurité de Google ont trouvé une importante faille (CVE-2020-17087) dans la manière dont les kernels de Windows 10 et de Windows 7 gèrent certaines fonctions cryptographiques.
Un dépassement de tampon mémoire permet, le cas échéant, une élévation de privilèges. En particulier, elle permet de sortir du bac à sable d’un navigateur Web.
Des pirates utilisent actuellement cette faille en combinaison avec une autre faille récente (CVE-2020-15999) dans le moteur de rendu de police de caractères Freetype de Chrome.
Cet enchaînement diabolique permet à des pirates d’exécuter du code à distance sur la machine de la victime dans le cadre d’attaques ciblées. Toutefois, celles-ci « ne sont pas liées aux élections américaines », précise Ben Hawkes, directeur technique de Google Project Zero.
Comme il s’agit d’une faille activement exploitée, Google a publié les détails techniques après un délai de seulement sept jours. Microsoft n’a pas encore eu le temps de développer un patch. Il faudra attendre le Patch Tuesday du 10 novembre. Le navigateur Chrome, en revanche, a déjà été mis à jour.