LOGG INN[NCSC-varsel] Nulldagssårbarhet i Microsoft Windows
NCSC ønsker å varsle om en nulldagssårbarhet, CVE-2020-17087 [1], i Microsoft Windows operativsystemer som ble offentliggjort 30. oktober. Sårbarheten ble oppdaget av sikkerhetsforskere hos Google [2] og påvirker minimum Windows 7 og Windows 10 [3].
Sårbarheten har blitt observert utnyttet i kombinasjon med en separat sårbarhet i Google Chrome, CVE-2020-15999 [4], som fikk sikkerhetsoppdateringer forrige uke. Chrome-sårbarheten utnyttes først til å kjøre ondsinnet kode i nettleseren, og Windows-sårbarheten til å bryte ut av den innebygde sandkassen til Chrome. Det er forventet at Microsoft vil publisere sikkerhetsoppdateringer som retter Windows-sårbarheten i deres neste månedelige sikkerhetsoppdateringer 10. november 2020.
NCSC er kjent med rapporteringer om aktiv utnyttelse av sårbarheten, men har p.t. ikke observert utnyttelsesforsøk i Norge.
Berørte systemer:
- Windows 7
- Windows 10
- Google Chrome
Anbefalinger:
- NCSC anbefaler systemeiere å oppdatere sårbare systemer så snart sikkerhetsoppdateringer er tilgjengelige.
Referanser:
[1] https://nvd.nist.gov/vuln/detail/CVE-2020-17087
[2] https://bugs.chrome.org/p/project-zero/issues/detail?id=2104
[3] https://techcrunch.com/2020/10/30/google-microsoft-windows-bug-attack/