Google a corrigé deux failles zero-day dans son navigateur Chrome qui étaient déjà activement exploitées dans la nature.
L'équipe de hackers Project Zero de Google a corrigé deux nouveaux correctifs de bugs Zero Day pour les vulnérabilités du navigateur Chrome, déjà activement exploitées dans la nature – pour la troisième fois. dans deux semaines l’équipe a dû corriger une vulnérabilité active dans le navigateur Web le plus utilisé au monde.
Ben Hawkes, le chef du Project Zero s'est rendu sur Twitter lundi pour faire l'annonce (via ArsTechnica):
Le premier, nommé CVE-2020-16009, est un bug d'exécution de code à distance dans V8, le moteur Javascript personnalisé utilisé dans Chromium. Le second, codé CVE-2020-16010, est un débordement de tampon basé sur le tas, spécifique à la version Android de Chrome, qui permet aux utilisateurs d'effectuer des tâches extérieures. l'environnement sandbox, les laissant libres d'exploiter du code malveillant, peut-être à partir d'un autre exploit, ou peut-être d'une manière complètement différente un.
Il y a beaucoup de choses que nous ne savons pas – Project Zero utilise souvent la base du « besoin de savoir », de peur qu’il ne se transforme en un didacticiel « comment pirater » – mais nous pouvons glaner quelques informations. On ne sait pas par exemple qui est responsable de l’exploitation des failles, mais étant donné que le premier (16009) a été découvert par le Threat Analysis Group, ce qui pourrait bien signifier qu'il s'agit d'un programme parrainé par l'État. acteur. Nous ne savons pas quelles versions de Chrome sont ciblées. Nous vous recommandons donc de supposer que la réponse est « celle que vous avez » et mettez à jour autant que possible si vous n’avez pas la dernière version automatiquement. Le correctif Android se trouve dans la dernière version de Chrome, actuellement disponible sur le Google Play Store. Vous devrez peut-être déclencher une mise à jour manuelle pour être sûr de le recevoir en temps opportun.