Google ha corretto un paio di difetti zero-day nel suo browser Chrome che erano già attivamente sfruttati in natura.
La squadra di hacker white-hat Project Zero di Google ha corretto due nuove correzioni di bug zero-day per le vulnerabilità del browser Chrome, già attivamente sfruttate in natura - per la terza volta in due settimane il team ha dovuto correggere una vulnerabilità attiva nel browser Web più utilizzato al mondo.
Ben Hawkes, il capo di Project Zero, è andato su Twitter lunedì per fare l'annuncio (via ArsTechnica):
Il primo, nome in codice CVE-2020-16009, è un bug di esecuzione remota del codice in V8, il motore Javascript personalizzato utilizzato in Chromium. Il secondo, codificato CVE-2020-16010, è un buffer overflow basato su heap, specifico per la versione Android di Chrome, che consente agli utenti esterni l'ambiente sandbox, lasciandoli liberi di sfruttare codice dannoso, magari proveniente da un altro exploit, o magari da uno completamente diverso uno.
Ci sono molte cose che non sappiamo – Project Zero spesso utilizza una base “che è necessario sapere”, per timore che si trasformi in un tutorial su “come hackerare” – ma possiamo raccogliere alcune informazioni. Non sappiamo, ad esempio, chi sia responsabile dello sfruttamento delle falle, ma dato che è il primo (16009) è stato scoperto dal Threat Analysis Group, il che potrebbe significare che si tratta di un'organizzazione sponsorizzata dallo stato attore. Non sappiamo quali versioni di Chrome siano prese di mira, quindi ti consigliamo di presumere che la risposta è "quella che hai" e aggiorna ove possibile se non hai la versione più recente automaticamente. La patch Android è nell'ultima versione di Chrome, attualmente disponibile sul Google Play Store: potrebbe essere necessario attivare un aggiornamento manuale per essere sicuri di riceverlo in modo tempestivo.