Google ve svém prohlížeči Chrome opravil pár chyb zero-day, které již byly aktivně využívány ve volné přírodě.
Tým bílých hackerů společnosti Google Project Zero opravil dvě nové zero-day opravy chyb pro zranitelnosti v prohlížeči Chrome, které jsou již ve volné přírodě aktivně využívány – potřetí. ve dvou týdnech tým musel opravit živou zranitelnost v nejpoužívanějším webovém prohlížeči na světě.
Ben Hawkes, šéf Project Zero, v pondělí oznámil na Twitteru (prostřednictvím ArsTechnica):
První, s kódovým označením CVE-2020-16009, je chyba vzdáleného spouštění kódu ve V8, vlastním Javascriptovém enginu používaném v Chromiu. Druhý, kódovaný CVE-2020-16010 je přetečení vyrovnávací paměti založené na hromadě, specifické pro verzi Chrome pro Android, které umožňuje uživatelům prostředí karantény, takže mohou volně využívat škodlivý kód, možná z jiného exploitu, nebo možná úplně jiného jeden.
Je toho hodně, co nevíme – Project Zero často používá základ „potřeby vědět“, aby se ve skutečnosti nezměnil v tutoriál „jak hacknout“ – ale můžeme nasbírat nějaké kousky informací. Nevíme například, kdo je odpovědný za využití nedostatků, ale vzhledem k tomu, že první (16009) byl objeven skupinou pro analýzu hrozeb, což by mohlo znamenat, že jde o státem sponzorovaný herec. Nevíme, na které verze Chromu se cílí, takže vám doporučujeme předpokládat odpověď je „ten, který máte“ a aktualizujte, kdekoli je to možné, pokud nemáte nejnovější verzi automaticky. Oprava pro Android je v nejnovější verzi prohlížeče Chrome, která je aktuálně dostupná v Obchodě Google Play – možná budete muset spustit ruční aktualizaci, abyste si byli jisti, že ji obdržíte včas.