Google on oma Chrome'i brauseris parandanud paar nullpäeva viga, mida juba looduses aktiivselt ära kasutati.
Google'i Project Zero valge mütsi häkkerite meeskond on parandanud kaks uut nullpäeva veaparandust Chrome'i brauseri haavatavuste jaoks, mida kasutatakse looduses juba aktiivselt ära – kolmandat korda kahe nädala pärast meeskond on pidanud parandama reaalajas haavatavust maailma enimkasutatavas veebibrauseris.
Projekti Zero juht Ben Hawkes tegi esmaspäeval Twitteris teate (via ArsTechnica):
Esimene, koodnimega CVE-2020-16009, on Chromiumis kasutatava kohandatud Javascripti mootori V8 kaugkäitamise viga. Teine, kodeeritud CVE-2020-16010 on kuhjapõhine puhvri ületäitumine, mis on spetsiifiline Chrome'i Androidi versioonile, mis võimaldab kasutajatel väljaspool liivakastikeskkonda, jättes neile võimaluse kasutada pahatahtlikku koodi, võib-olla teisest ärakasutamisest või võib-olla täiesti erinevast üks.
Meil on palju teadmata – Project Zero kasutab sageli teadmisvajaduse alust, et see tegelikult ei muutuks õpetuseks, kuidas häkkida –, kuid me saame koguda natuke teavet. Näiteks me ei tea, kes vastutab puuduste ärakasutamise eest, kuid seda arvestades esimene (16009) avastas Threat Analysis Group, mis võib tähendada, et see on riiklikult toetatud näitleja. Me ei tea, milliseid Chrome'i versioone sihitakse, seega soovitame teil eeldada vastus on "see, mis teil on" ja värskendage võimaluse korral, kui teil pole uusimat versiooni automaatselt. Androidi plaaster on Chrome'i uusimas versioonis, mis on praegu saadaval Google Play poest – võib-olla peate käivitama käsitsi värskenduse, et olla kindel selle õigeaegses kättesaamises.