Google telah menambal sepasang kelemahan zero-day di browser Chrome-nya yang sudah aktif dieksploitasi secara liar.
Pasukan peretas topi putih Project Zero Google telah menambal dua perbaikan bug zero-day baru untuk kerentanan di Browser Chrome, yang telah dieksploitasi secara aktif di alam liar — yang ketiga kalinya dalam dua minggu tim harus menambal kerentanan nyata di browser web yang paling banyak digunakan di dunia.
Ben Hawkes, kepala Project Zero melalui Twitter pada hari Senin untuk membuat pengumuman (via ArsTechnica):
Yang pertama, dengan nama kode CVE-2020-16009, adalah bug eksekusi kode jarak jauh di V8, mesin Javascript khusus yang digunakan di Chromium. Yang kedua, berkode CVE-2020-16010 adalah buffer overflow berbasis heap, khusus untuk Chrome versi Android, yang memungkinkan pengguna keluar lingkungan sandbox, membiarkan mereka bebas mengeksploitasi kode berbahaya, mungkin dari eksploitasi lain, atau mungkin yang sama sekali berbeda satu.
Ada banyak hal yang tidak kita ketahui — Project Zero sering kali menggunakan dasar 'perlu diketahui', agar tidak berubah menjadi tutorial 'cara meretas' — namun kita dapat memperoleh sedikit informasi. Kita tidak tahu, misalnya, siapa yang bertanggung jawab untuk mengeksploitasi kelemahan tersebut, namun mengingat hal itu adalah yang pertama (16009) ditemukan oleh Threat Analysis Group, yang berarti ini adalah program yang disponsori negara. aktor. Kami tidak tahu versi Chrome mana yang menjadi target, jadi sebaiknya Anda berasumsi demikian jawabannya adalah “yang Anda punya” dan perbarui sedapat mungkin jika Anda belum memiliki versi terbaru secara otomatis. Patch Android ada di Chrome versi terbaru, saat ini tersedia di Google Play Store — Anda mungkin perlu melakukan pembaruan manual, untuk memastikan menerimanya tepat waktu.