Google ასწორებს Chrome-ის კიდევ ორ ნულოვანი დღის ხარვეზს, რომლებიც უკვე გამოიყენებოდა

Google-მა თავის Chrome ბრაუზერში გაასწორა ნულოვანი დღის ხარვეზები, რომლებიც უკვე აქტიურად გამოიყენებოდა ბუნებაში.

Google-ის Project Zero თეთრი ქუდის ჰაკერების რაზმმა დააფიქსირა ორი ახალი ნულოვანი დღის ხარვეზების შესწორება Chrome ბრაუზერში დაუცველობისთვის, რომლებიც უკვე აქტიურად გამოიყენება ბუნებაში - მესამედ. ორ კვირაში გუნდს მოუწია ცოცხალი დაუცველობის შესწორება მსოფლიოში ყველაზე ხშირად გამოყენებულ ვებ ბრაუზერში.

ბენ ჰოუკსმა, Project Zero-ს ხელმძღვანელმა, ორშაბათს Twitter-ზე გამოაქვეყნა განცხადება ArsTechnica):

პირველი, კოდირებული CVE-2020-16009, არის დისტანციური კოდის შესრულების შეცდომა V8-ში, მორგებული Javascript ძრავა, რომელიც გამოიყენება Chromium-ში. მეორე, კოდირებული CVE-2020-16010 არის გროვაზე დაფუძნებული ბუფერის გადადინება, სპეციფიკური Chrome-ის Android ვერსიისთვის, რომელიც მომხმარებლებს საშუალებას აძლევს გარეთ sandbox გარემო, რაც მათ თავისუფლად ტოვებს მავნე კოდის ექსპლუატაციაში, შესაძლოა სხვა ექსპლოიტისგან, ან შესაძლოა სრულიად განსხვავებული ერთი.

ბევრი რამ არ ვიცით – Project Zero ხშირად იყენებს „უნდა ვიცოდეთ“ საფუძველს, რათა ის რეალურად არ გადაიზარდოს „როგორ უნდა გატეხოთ“ გაკვეთილი – მაგრამ ჩვენ შეგვიძლია შევაგროვოთ რამდენიმე ინფორმაცია. ჩვენ არ ვიცით, მაგალითად, ვინ არის პასუხისმგებელი ხარვეზების გამოყენებაზე, მაგრამ იმის გათვალისწინებით, რომ პირველი (16009) აღმოაჩინა საფრთხეების ანალიზის ჯგუფმა, რაც შეიძლება ნიშნავდეს, რომ ის არის სახელმწიფოს მიერ დაფინანსებული მსახიობი. ჩვენ არ ვიცით, Chrome-ის რომელი ვერსიებია მიზანმიმართული, ამიტომ გირჩევთ, რომ ვივარაუდოთ პასუხი არის „ის რაც გაქვთ“ და განაახლეთ, სადაც ეს შესაძლებელია, თუ არ გქონიათ უახლესი ვერსია ავტომატურად. Android-ის პატჩი არის Chrome-ის უახლეს ვერსიაში, რომელიც ამჟამად ხელმისაწვდომია Google Play Store-დან — შეიძლება დაგჭირდეთ ხელით განახლების ჩართვა, რათა დარწმუნდეთ მის დროულად მიღებაში.