A Google kijavított egy pár nulladik napi hibát a Chrome böngészőjében, amelyeket a vadonban már aktívan kihasználtak.
A Google Project Zero white-hat hackercsapata két új nulladik napi hibajavítást javított ki a Chrome böngésző sérülékenysége miatt, amelyeket a vadonban már aktívan kihasználnak – immár harmadik alkalommal. két héten belül a csapatnak be kellett foltoznia a világ leggyakrabban használt webböngészőjének élő sebezhetőségét.
Ben Hawkes, a Project Zero vezetője hétfőn a Twitteren jelentette be (via ArsTechnica):
Az első, kódnéven CVE-2020-16009, egy távoli kódvégrehajtási hiba a V8-ban, a Chromiumban használt egyéni Javascript-motorban. A második, kódolt CVE-2020-16010 egy kupac alapú puffertúlcsordulás, amely kifejezetten a Chrome Android-verziójára vonatkozik, és lehetővé teszi a felhasználók számára a sandbox környezetet, szabadon hagyva számukra a rosszindulatú kódok kihasználását, esetleg a másik exploitból, vagy esetleg egy teljesen másból. egy.
Sok mindent nem tudunk – a Project Zero gyakran használ „tudni kell” alapon, nehogy valójában „hogyan kell feltörni” oktatóanyaggá váljon –, de összegyűjthetünk néhány információt. Nem tudjuk például, hogy ki a felelős a hibák kihasználásáért, de tekintettel arra, hogy az első (16009) a Threat Analysis Group fedezte fel, ami azt jelentheti, hogy ez egy államilag támogatott színész. Nem tudjuk, hogy a Chrome mely verzióit célozza meg, ezért azt javasoljuk, hogy feltételezze a A válasz „az, amivel rendelkezel”, és frissítsd, ahol csak lehetséges, ha nem rendelkezel a legújabb verzióval automatikusan. Az Android-javítás a Chrome legújabb verziójában található, amely jelenleg a Google Play Áruházból érhető el – előfordulhat, hogy manuális frissítést kell elindítania, hogy biztosan időben megkapja.