Tom's Hardware Italia
Software

Windows 7 ha una vulnerabilità zero day, l’ha scoperta Google

Google ha svelato l'esistenza di una falla zero-day in Windows 7. Microsoft deve ancora rilasciare un fix ma è al lavoro.

Attenzione, se usate Windows 7 o un sistema precedente siete in pericolo, almeno per il momento. Google ha svelato con un post sul proprio blog l’esistenza di una vulnerabilità “zero day” per il vecchio sistema operativo di Microsoft.

Con il termine zero-day “si indica una minaccia informatica che sfrutta vulnerabilità di applicazioni software non ancora divulgate o per le quali non è ancora stata distribuita una patch. Gli attacchi zero-day sono considerati una minaccia molto grave, in quanto sfruttano falle di sicurezza per le quali non è al momento disponibile nessuna soluzione”, spiega CERT Italia.

Secondo Google si tratta di una falla che permette la “local privilege escalation” nel driver kernel win32k.sys di Windows e che permette di oltrepassare la sandbox di sicurezza.

“Crediamo fermamente che questa vulnerabilità sia sfruttabile solo su Windows 7 a causa delle recenti mitigazioni contro gli exploit aggiunte nelle più recenti versioni di Windows”, scrive Google. “A oggi abbiamo osservato uno sfruttamento attivo solo contro i sistemi Windows 7 a 32 bit“.

Google ha comunicato la vulnerabilità a Microsoft e ha seguito le giuste policy (gli ormai famosi 90 giorni) prima di comunicarne pubblicamente l’esistenza. “Si tratta di una grave vulnerabilità di Windows sfruttata attivamente in attacchi mirati. La falla di Windows senza patch può ancora essere usata per elevare i privilegi o, combinata con un’altra vulnerabilità del browser, per eludere le sandbox di sicurezza. Microsoft ci ha detto che stanno lavorando a un fix“.

In attesa di una patch da parte della casa di Redmond, Google consiglia l’unica via percorribile: passare a Windows 10. Quest’ultimo, tra l’altro, ha appena tagliato quota 800 milioni di installazioni nel mondo tra PC desktop, notebook (2 in 1, convertibili, ecc.) e console.

Ricordiamo che nei giorni scorsi Google ha risolto una falla zero day che colpiva Chrome: se il browser non si è aggiornato automaticamente, andate nel menu delle impostazioni di Chrome in “Guida – Informazioni su Google Chrome” e attendete che il processo di update abbia luogo.