Η Google επιδιορθώνει ένα ζευγάρι ελαττωμάτων zero-day στο πρόγραμμα περιήγησής της Chrome, τα οποία ήδη χρησιμοποιούνταν ενεργά στη φύση.
Η ομάδα χάκερ του Google Project Zero έχει επιδιορθώσει δύο νέες επιδιορθώσεις σφαλμάτων zero-day για τρωτά σημεία στο πρόγραμμα περιήγησης Chrome, τα οποία ήδη υφίστανται ενεργή εκμετάλλευση στην άγρια φύση — την τρίτη φορά σε δύο εβδομάδες η ομάδα χρειάστηκε να επιδιορθώσει μια ζωντανή ευπάθεια στο πιο χρησιμοποιούμενο πρόγραμμα περιήγησης ιστού στον κόσμο.
Ο Μπεν Χοκς, ο επικεφαλής του Project Zero έκανε την ανακοίνωση στο Twitter τη Δευτέρα (μέσω ArsTechnica):
Το πρώτο, με την κωδική ονομασία CVE-2020-16009, είναι ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα στο V8, την προσαρμοσμένη μηχανή Javascript που χρησιμοποιείται στο Chromium. Το δεύτερο, κωδικοποιημένο CVE-2020-16010 είναι μια υπερχείλιση buffer που βασίζεται σε σωρό, ειδικά για την έκδοση Android του Chrome, η οποία επιτρέπει στους χρήστες να βγουν έξω το περιβάλλον sandbox, αφήνοντάς τους ελεύθερους να εκμεταλλευτούν κακόβουλο κώδικα, ίσως από το άλλο exploit ή ίσως ένα εντελώς διαφορετικό ένας.
Υπάρχουν πολλά που δεν γνωρίζουμε - το Project Zero χρησιμοποιεί συχνά μια βάση «ανάγκη να γνωρίζω», για να μην μετατραπεί στην πραγματικότητα σε ένα σεμινάριο «πώς να χακάρετε» - αλλά μπορούμε να συγκεντρώσουμε μερικές πληροφορίες. Δεν γνωρίζουμε, για παράδειγμα, ποιος είναι υπεύθυνος για την εκμετάλλευση των ελαττωμάτων, αλλά δεδομένου ότι το πρώτο (16009) ανακαλύφθηκε από την Ομάδα Ανάλυσης Απειλών, πράγμα που θα μπορούσε κάλλιστα να σημαίνει ότι είναι μια κρατική χορηγία ηθοποιός. Δεν γνωρίζουμε ποιες εκδόσεις του Chrome στοχεύονται, επομένως σας συνιστούμε να το υποθέσετε η απάντηση είναι "αυτή που έχετε" και ενημερώστε όπου είναι δυνατόν, εάν δεν είχατε την πιο πρόσφατη έκδοση αυτομάτως. Η ενημερωμένη έκδοση κώδικα Android είναι στην πιο πρόσφατη έκδοση του Chrome, προς το παρόν διαθέσιμη από το Google Play Store — ίσως χρειαστεί να ενεργοποιήσετε μια μη αυτόματη ενημέρωση, για να είστε σίγουροι ότι θα τη λάβετε έγκαιρα.