Windowsista on löydetty nollapäivähaavoittuvuus, jota ei ole vielä paikattu, ZDNet kirjoittaa. Haavoittuvuutta hyödynnetään aktiivisesti ja se liittyy aikaisempaan Chromen nollapäivään.

Hyökkääjät käyttivät Chromen haavoittuvuutta ajamaan haitallista koodia selaimen sisällä. Windowsin haavoittuvuuden avulla hyökkääjät pääsivät pakenemaan Chromen suojatusta säilöstä ja suorittamaan koodin taustalla olevassa käyttöjärjestelmässä. Tietoturvatutkijat kutsuvat tätä ”hiekkalaatikkopaoksi”.

Googlen tietoturvatutkijat löysivät haavoittuvuuden ja antoivat Microsoftille seitsemän päivää aikaa paikata Windowsin aukko. Microsoft ei julkaissut paikkausta määräajassa, ja tietoturvatiimi paljasti haavoittuvuuden viikonloppuna.

Googlen selvityksen mukaan haavoittuvuus vaikuttaa Windowsin versioihin 7–10 eli käytännössä kaikkiin yleisesti käytettäviin Windows-versioihin.

Googlen tietoturvatiimin johtaja Ben Hawkes kertoi viikonloppuna Twitterissä, että Microsoft julkaisee paikkauksen tiistaina 10. marraskuuta.

Microsoft ei ole itse vahvistanut tietoa paikkauksesta. Chromen nollapäivä paikattiin selainversiossa 86.0.4240.111.

Maaliskuussa Windowsista löydettiin haavoittuvuus, johon ei pystytty toimittamaan paikkausta lainkaan.