Google corrige dos fallos más de día cero en Chrome que ya estaban siendo explotados

Google ha solucionado un par de fallos de día cero en su navegador Chrome que ya estaban siendo explotados activamente.

El equipo de hackers de sombrero blanco del Proyecto Cero de Google ha parcheado dos nuevas correcciones de errores de día cero para vulnerabilidades en el navegador Chrome, que ya están siendo explotadas activamente en la naturaleza, por tercera vez. en dos semanas El equipo tuvo que parchear una vulnerabilidad activa en el navegador web más utilizado del mundo.

Ben Hawkes, el director del Proyecto Cero, recurrió a Twitter el lunes para hacer el anuncio (a través de ArsTechnica):

El primero, con nombre en código CVE-2020-16009, es un error de ejecución remota de código en V8, el motor Javascript personalizado utilizado en Chromium. El segundo, codificado CVE-2020-16010, es un desbordamiento de búfer basado en montón, específico de la versión Android de Chrome, que permite a los usuarios externos el entorno sandbox, dejándolos libres para explotar código malicioso, tal vez de otro exploit, o tal vez de uno completamente diferente. uno.

Hay muchas cosas que no sabemos (Project Zero a menudo utiliza una base de "necesidad de saber", para que no se convierta en un tutorial de "cómo hackear"), pero podemos obtener algunos fragmentos de información. No sabemos, por ejemplo, quién es el responsable de explotar los fallos, pero dado que la primera (16009) fue descubierto por el Threat Analysis Group, lo que bien podría significar que es un patrocinado por el estado. actor. No sabemos qué versiones de Chrome están siendo atacadas, por lo que le recomendamos que asuma la la respuesta es “la que tienes” y actualiza siempre que sea posible si no has tenido la última versión automáticamente. El parche de Android se encuentra en la última versión de Chrome, actualmente disponible en Google Play Store; es posible que deba activar una actualización manual para asegurarse de recibirla de manera oportuna.