Google поправи двойка пропуски от нулевия ден в своя браузър Chrome, които вече бяха активно експлоатирани в дивата природа.
Хакерският отряд Project Zero на Google закърпи две нови корекции на грешки от нулевия ден за уязвимости в браузъра Chrome, които вече се използват активно в дивата природа - за трети път след две седмици екипът трябваше да коригира уязвимост на живо в най-използвания уеб браузър в света.
Бен Хоукс, ръководителят на Project Zero, отиде в Twitter в понеделник, за да направи съобщението (чрез ArsTechnica):
Първият, с кодово име CVE-2020-16009, е грешка при дистанционно изпълнение на код във V8, персонализирания Javascript двигател, използван в Chromium. Вторият, кодиран CVE-2020-16010 е базирано на купчина буферно препълване, специфично за Android версията на Chrome, което позволява на потребителите извън средата на пясъчника, оставяйки ги свободни да експлоатират злонамерен код, може би от другия експлойт, или може би напълно различен един.
Има много неща, които не знаем – Project Zero често използва принципа „трябва да се знае“, за да не се превърне в урок „как да хакна“ – но можем да съберем малко информация. Не знаем например кой е отговорен за използването на недостатъците, но като се има предвид, че първият (16009) е открит от Threat Analysis Group, което може да означава, че е спонсориран от държавата актьор. Не знаем кои версии на Chrome са насочени, така че ви препоръчваме да приемете отговорът е „тази, която имате“ и актуализирайте, когато е възможно, ако не сте имали най-новата версия автоматично. Корекцията за Android е в най-новата версия на Chrome, в момента достъпна от Google Play Store — може да се наложи да задействате ръчна актуализация, за да сте сигурни, че ще я получите навреме.