גוגל מתקנת שני פגמים נוספים ב-Chrome של יום אפס שכבר נוצלו

גוגל תיקנה זוג פגמים של יום אפס בדפדפן כרום שלה שכבר נוצלו באופן פעיל בטבע.

חוליית ההאקרים הלבנה של גוגל, Project Zero, תיקנה שני תיקוני באגים חדשים של יום אפס עבור פגיעויות בדפדפן כרום, שכבר מנוצלים באופן פעיל בטבע - בפעם השלישית בעוד שבועיים הצוות נאלץ לתקן פגיעות חיה בדפדפן האינטרנט המשומש ביותר בעולם.

בן הוקס, ראש פרויקט אפס פנה לטוויטר ביום שני כדי לפרסם את ההכרזה (באמצעות ArsTechnica):

הראשון, בשם הקוד CVE-2020-16009, הוא באג של ביצוע קוד מרחוק ב-V8, מנוע ה-Javascript המותאם אישית המשמש ב-Chromium. השני, המקודד CVE-2020-16010 הוא הצפת חיץ מבוססת ערימה, ספציפית לגרסת אנדרואיד של Chrome, המאפשרת למשתמשים לצאת סביבת ארגז החול, מה שמותיר אותם חופשיים לנצל קוד זדוני, אולי מהניצול האחר, או אולי שונה לחלוטין אחד.

יש הרבה שאנחנו לא יודעים - Project Zero משתמש לעתים קרובות בבסיס 'צריך לדעת', שמא הוא יהפוך למעשה למדריך 'איך לפרוץ' - אבל אנחנו יכולים לאסוף כמה פיסות מידע. אנחנו לא יודעים, למשל, מי אחראי לניצול הפגמים, אבל בהתחשב בכך הראשון (16009) התגלתה על ידי קבוצת ניתוח האיומים, מה שיכול בהחלט לומר שהוא בחסות המדינה שַׂחְקָן. אנחנו לא יודעים לאילו גרסאות של Chrome ממוקדות, אז אנו ממליצים להניח את ה התשובה היא "זה שיש לך" ועדכן בכל מקום אפשרי אם לא הייתה לך את הגרסה העדכנית ביותר באופן אוטומטי. תיקון אנדרואיד נמצא בגרסה העדכנית ביותר של Chrome, הזמינה כעת מחנות Google Play - ייתכן שיהיה עליך להפעיל עדכון ידני, כדי להיות בטוח שתקבל אותו בזמן.