قامت Google بتصحيح زوج من عيوب يوم الصفر في متصفح Chrome الخاص بها والتي تم استغلالها بالفعل بشكل نشط.
قام فريق قراصنة القبعة البيضاء Project Zero التابع لشركة Google بتصحيح اثنين من إصلاحات الأخطاء الجديدة في يوم الصفر لنقاط الضعف في متصفح Chrome، والتي يتم استغلالها بالفعل بشكل نشط - للمرة الثالثة خلال اسبوعين اضطر الفريق إلى تصحيح ثغرة أمنية في متصفح الويب الأكثر استخدامًا في العالم.
توجه بن هوكس، رئيس Project Zero، إلى تويتر يوم الاثنين للإعلان عن هذا الإعلان (عبر آرس تكنيكا):
الأول، الذي يحمل الاسم الرمزي CVE-2020-16009، هو خطأ في تنفيذ التعليمات البرمجية عن بعد في V8، وهو محرك Javascript المخصص المستخدم في Chromium. الثاني، المشفر CVE-2020-16010، عبارة عن تجاوز سعة المخزن المؤقت القائم على الكومة، وهو خاص بإصدار Android من Chrome، والذي يتيح للمستخدمين خارج بيئة الحماية، مما يترك لهم الحرية في استغلال التعليمات البرمجية الضارة، ربما من استغلال آخر، أو ربما مختلف تمامًا واحد.
هناك الكثير مما لا نعرفه - غالبًا ما يستخدم Project Zero أساس "الحاجة إلى المعرفة"، خشية أن يتحول فعليًا إلى برنامج تعليمي حول "كيفية الاختراق" - ولكن يمكننا جمع بعض أجزاء من المعلومات. ولا نعرف مثلاً من المسؤول عن استغلال العيوب، لكن بالنظر إلى ذلك الأول (16009) تم اكتشافه بواسطة مجموعة تحليل التهديدات، وهو ما قد يعني أنه برنامج ترعاه الدولة الممثل. لا نعرف أي إصدارات Chrome يتم استهدافها، لذا ننصحك بافتراض أن الإجابة هي "الإصدار الذي لديك" وقم بالتحديث حيثما أمكن ذلك إذا لم يكن لديك الإصدار الأحدث تلقائيا. يتوفر تصحيح Android في أحدث إصدار من Chrome، والمتوفر حاليًا من متجر Google Play - وقد تحتاج إلى تشغيل تحديث يدوي، للتأكد من استلامه في الوقت المناسب.