Google hat zwei Zero-Day-Schwachstellen in seinem Chrome-Browser behoben, die bereits aktiv ausgenutzt wurden.
Googles White-Hat-Hackertrupp „Project Zero“ hat zwei neue Zero-Day-Bugfixes für Schwachstellen im Chrome-Browser gepatcht, die bereits zum dritten Mal aktiv ausgenutzt werden in zwei Wochen Das Team musste eine Live-Schwachstelle im weltweit meistgenutzten Webbrowser schließen.
Ben Hawkes, der Leiter von Project Zero, nutzte am Montag Twitter, um die Ankündigung zu machen (via ArsTechnica):
Der erste mit dem Codenamen CVE-2020-16009 ist ein Fehler bei der Remote-Codeausführung in V8, der in Chromium verwendeten benutzerdefinierten Javascript-Engine. Der zweite, codierte CVE-2020-16010 ist ein Heap-basierter Pufferüberlauf, der speziell für die Android-Version von Chrome gilt und Benutzer nach draußen lässt die Sandbox-Umgebung, sodass sie Schadcode ausnutzen können, vielleicht aus dem anderen Exploit oder vielleicht aus einem ganz anderen eins.
Es gibt vieles, was wir nicht wissen – Project Zero verwendet oft eine „Wissenswertes“-Grundlage, damit es nicht tatsächlich zu einem „How to Hack“-Tutorial wird – aber wir können ein paar Informationen zusammentragen. Wir wissen zum Beispiel nicht, wer für die Ausnutzung der Schwachstellen verantwortlich ist, aber das Erste (16009) wurde von der Threat Analysis Group entdeckt, was durchaus bedeuten könnte, dass es sich um eine staatlich geförderte Bedrohung handelt Schauspieler. Wir wissen nicht, welche Versionen von Chrome angegriffen werden, daher empfehlen wir Ihnen, davon auszugehen Die Antwort lautet „die, die Sie haben“ und aktualisieren Sie, wo immer möglich, wenn Sie nicht die neueste Version haben automatisch. Der Android-Patch ist in der neuesten Version von Chrome enthalten, die derzeit im Google Play Store erhältlich ist. Möglicherweise müssen Sie ein manuelles Update auslösen, um sicherzustellen, dass Sie es rechtzeitig erhalten.