Google は、すでに実際に悪用されていた Chrome ブラウザの 2 つのゼロデイ欠陥にパッチを適用しました。
Google の Project Zero ホワイトハット ハッカー部隊は、すでに実際に活発に悪用されている Chrome ブラウザの脆弱性に対する 2 つの新しいゼロデイ バグ修正にパッチを適用しました - 3 回目 2週間以内に チームは、世界で最も使用されている Web ブラウザーの実際の脆弱性にパッチを適用する必要がありました。
プロジェクト・ゼロの責任者ベン・ホークス氏が月曜日にツイッターで発表した(経由) アルステクニカ):
1 つ目はコードネーム CVE-2020-16009 で、Chromium で使用されるカスタム Javascript エンジンである V8 のリモート コード実行のバグです。 2 番目のコード化された CVE-2020-16010 は、Android バージョンの Chrome に固有のヒープベースのバッファ オーバーフローであり、ユーザーが外部にアクセスできるようになります。 サンドボックス環境では、おそらく他のエクスプロイトから、あるいはまったく別のエクスプロイトから、悪意のあるコードを自由に悪用できる状態になっています。 1つ。
私たちが知らないことはたくさんあります。Project Zero では、実際に「ハッキング方法」のチュートリアルになってしまうことを避けるため、「知っておく必要がある」という基準をよく使用しています。しかし、いくつかの情報を収集することはできます。 たとえば、誰が欠陥を悪用した責任があるのかはわかりませんが、最初の (16009) は脅威分析グループによって発見されました。これは、これが国家主導の攻撃であることを意味する可能性が十分にあります。 俳優。 Chrome のどのバージョンがターゲットになっているかは不明なので、次のことを想定することをお勧めします。 答えは「あなたが持っているもの」です。最新バージョンを持っていない場合は、可能な限り更新してください。 自動的に。 Android パッチは Chrome の最新バージョンに含まれており、現在 Google Play ストアから入手できます。確実にタイムリーに受信するには、手動アップデートをトリガーする必要がある場合があります。