Project Zero ของกูเกิลเปิดเผยรายละเอียดช่องโหว่ CVE-2020-17087 ที่เปิดทางให้แฮกเกอร์ให้สามารถระดับสิทธิ์ของตัวเองหรือเจาะทะลุ sandbox ในระบบ โดยรายงานของ Project Zero เปิดเผยทั้งรายละเอียดและตัวอย่างโค้ดทดสอบช่องโหว่ ซึ่งโดยปกติแล้วการเปิดเผยรายละเอียดเช่นนี้จะเปิดเผยหลังผู้ผลิตปล่อยแพตช์แก้ไขช่องโหว่ออกมาแล้วระยะหนึ่ง

กรณีนี้กูเกิลระบุว่าตรวจพบการโจมตีอย่างเจาะจง โดยไม่เปิดเผยว่าเป็นการโจมตีหน่วยงานใด แต่บอกเพียงว่าไม่เกี่ยวข้องกับการเลือกตั้งสหรัฐฯ

กูเกิลคาดว่าไมโครซอฟท์จะปล่อยแพตช์ช่องโหว่นี้พร้อมกับแพตช์ประจำเดือนในวันที่ 10 พฤศจิกายนที่จะถึงนี้ ทางด้านไมโครซอฟท์ระบุกับ The Register ว่าบริษัทพยายามออกแพตช์ให้ทันเส้นตายเสมอ แต่ทั้งนี้ก็ต้องให้ความสมดุลกับคุณภาพของแพตช์ไปพร้อมกันด้วย และกรณีนี้ช่องโหว่ก็เป็นช่องโหว่ที่คนร้ายต้องส่งโค้ดมารันบนเครื่องเหยื่อเสียก่อน และก่อนหน้านี้ที่มีการโจมตีก็เป็นการอาศัยช่องโหว่ CVE-2020-15999 ของเบราว์เซอร์ในกลุ่ม Chromium ที่ออกแพตช์ไปแล้วก่อนหน้านี้

ที่มา - The Register, Project Zero

ตัวอย่างโค้ดโจมตีช่องโหว่ใหม่ในวินโดวส์ของ Project Zero