Google on korjannut pari nollapäivän virhettä Chrome-selaimessaan, joita hyödynnettiin jo aktiivisesti luonnossa.
Googlen Project Zero white-hat -hakkeriryhmä on korjannut kaksi uutta nollapäivän virhekorjausta Chrome-selaimen haavoittuvuuksiin, joita käytetään jo aktiivisesti luonnossa – kolmatta kertaa kahdessa viikossa tiimi on joutunut korjaamaan elävän haavoittuvuuden maailman eniten käytetyssä selaimessa.
Project Zeron johtaja Ben Hawkes ilmoitti maanantaina Twitterissä (via ArsTechnica):
Ensimmäinen, koodinimeltään CVE-2020-16009, on koodin etäsuoritusvirhe V8:ssa, Chromiumissa käytetyssä mukautetussa Javascript-moottorissa. Toinen, koodattu CVE-2020-16010 on kasaan perustuva puskurin ylivuoto, joka on nimenomaan Chromen Android-versiota varten ja jonka avulla käyttäjät pääsevät sen ulkopuolelle. hiekkalaatikkoympäristöön, jolloin he voivat hyödyntää haitallista koodia, ehkä toisesta hyväksikäytöstä tai ehkä täysin erilaisesta yksi.
On paljon asioita, joita emme tiedä – Project Zero käyttää usein "tarve tietää" -perustetta, jottei se itse asiassa muutu "miten hakkeroida" -opetusohjelmaksi - mutta voimme poimia joitain tietoja. Emme esimerkiksi tiedä, kuka on vastuussa puutteiden hyödyntämisestä, mutta kun otetaan huomioon, että ensimmäinen (16009) löysi Threat Analysis Group, mikä voi hyvinkin tarkoittaa, että se on valtion tukema näyttelijä. Emme tiedä, mihin Chromen versioihin kohdistetaan, joten suosittelemme, että oletat vastaus on "se, joka sinulla on" ja päivitä aina kun mahdollista, jos sinulla ei ole uusinta versiota automaattisesti. Android-korjaus on Chromen uusimmassa versiossa, joka on tällä hetkellä saatavilla Google Play Kaupasta. Saatat joutua käynnistämään manuaalisen päivityksen, jotta saat sen ajoissa.