Google je popravio par nedostataka nultog dana u svom pregledniku Chrome koji su se već aktivno iskorištavali u divljini.
Googleov Project Zero hakerski tim s bijelim šeširima zakrpao je dva nova ispravka pogrešaka nultog dana za ranjivosti u pregledniku Chrome, koji se već aktivno iskorištavaju u divljini — treći put za dva tjedna tim je morao zakrpati živu ranjivost u najkorištenijem web pregledniku na svijetu.
Ben Hawkes, voditelj Project Zero oglasio se u ponedjeljak na Twitteru kako bi to objavio (putem ArsTechnica):
Prvi, kodnog naziva CVE-2020-16009, je bug daljinskog izvršavanja koda u V8, prilagođenom Javascript stroju koji se koristi u Chromiumu. Drugi, kodirani CVE-2020-16010 je prekoračenje međuspremnika temeljeno na hrpi, specifično za Android verziju Chromea, koje korisnicima omogućuje izvan okruženju sandboxa, ostavljajući im slobodu za iskorištavanje zlonamjernog koda, možda iz drugog exploita, ili možda potpuno drugog jedan.
Ima mnogo toga što ne znamo - Project Zero često koristi osnovu "treba znati" da se zapravo ne pretvori u vodič "kako hakirati" - ali možemo prikupiti neke dijelove informacija. Ne znamo, na primjer, tko je odgovoran za iskorištavanje nedostataka, ali s obzirom da prvi (16009) otkrila je Grupa za analizu prijetnji, što bi moglo značiti da je sponzorirana od države glumac. Ne znamo koje su verzije Chromea ciljane, stoga preporučujemo da pretpostavite odgovor je "ona koju imate" i ažurirajte gdje god je to moguće ako niste imali najnoviju verziju automatski. Zakrpa za Android nalazi se u najnovijoj verziji Chromea, trenutno dostupnoj u Trgovini Google Play — možda ćete morati pokrenuti ručno ažuriranje kako biste bili sigurni da ćete ga primiti na vrijeme.