Google har rettet et par nul-dage-fejl i sin Chrome-browser, som allerede blev aktivt udnyttet i naturen.
Googles Project Zero white-hat hacker squad har rettet to nye nul-dages fejlrettelser til sårbarheder i Chrome-browseren, som allerede udnyttes aktivt i naturen - tredje gang om to uger holdet har været nødt til at lappe en live-sårbarhed i verdens mest brugte webbrowser.
Ben Hawkes, lederen af Project Zero tog til Twitter i mandags for at komme med meddelelsen (via ArsTechnica):
Den første, kodenavnet CVE-2020-16009, er en fjernkodeudførelsesfejl i V8, den brugerdefinerede Javascript-motor, der bruges i Chromium. Den anden, kodede CVE-2020-16010 er et heap-baseret bufferoverløb, specifikt for Android-versionen af Chrome, som lader brugere udenfor sandkassemiljøet, hvilket giver dem frihed til at udnytte ondsindet kode, måske fra den anden udnyttelse, eller måske en helt anden en.
Der er meget, vi ikke ved - Project Zero bruger ofte et 'need to know'-grundlag, for at det ikke rent faktisk bliver til en 'how to hack'-tutorial - men vi kan indsamle nogle stykker information. Vi ved for eksempel ikke, hvem der er ansvarlig for at udnytte fejlene, men givet det første (16009) blev opdaget af Threat Analysis Group, hvilket godt kunne betyde, at det er en statssponsoreret skuespiller. Vi ved ikke, hvilke versioner af Chrome der er målrettet mod, så vi anbefaler, at du antager svaret er "den du har" og opdater hvor det er muligt, hvis du ikke har haft den seneste version automatisk. Android-patchen er i den nyeste version af Chrome, som i øjeblikket er tilgængelig fra Google Play Butik - du skal muligvis udløse en manuel opdatering for at være sikker på at modtage den rettidigt.