„Google“ ištaisė porą nulinės dienos „Chrome“ naršyklės trūkumų, kurie jau buvo aktyviai naudojami gamtoje.
„Google Project Zero white-hat“ įsilaužėlių komanda pataisė du naujus nulinės dienos klaidų pataisymus dėl „Chrome“ naršyklės spragų, kurios jau yra aktyviai naudojamos gamtoje – trečią kartą. per dvi savaites komandai teko pataisyti tiesioginį pažeidžiamumą labiausiai naudojamoje pasaulyje interneto naršyklėje.
„Project Zero“ vadovas Benas Hawkesas pirmadienį paskelbė „Twitter“ (per ArsTechnica):
Pirmasis, kodiniu pavadinimu CVE-2020-16009, yra nuotolinio kodo vykdymo klaida V8, tinkinto Javascript variklio, naudojamo Chromium. Antrasis, užkoduotas CVE-2020-16010, yra krūvos buferio perpildymas, būdingas „Chrome“ „Android“ versijai, leidžiantis vartotojams išeiti už jos ribų. smėlio dėžės aplinką, paliekant jiems laisvę išnaudoti kenkėjišką kodą, galbūt iš kito išnaudojimo, o gal visiškai kitokį vienas.
Mes daug ko nežinome – „Project Zero“ dažnai naudoja „būtina žinoti“ pagrindą, kad iš tikrųjų nevirstų pamoka „kaip įsilaužti“, tačiau galime surinkti šiek tiek informacijos. Pavyzdžiui, nežinome, kas atsakingas už trūkumų išnaudojimą, bet atsižvelgiant į tai, pirmiausia (16009) atrado Grėsmių analizės grupė, o tai gali reikšti, kad tai valstybės remiama aktorius. Nežinome, kurioms „Chrome“ versijoms taikoma, todėl rekomenduojame daryti prielaidą, kad atsakymas yra „tas, kurį turite“ ir atnaujinkite, kur įmanoma, jei neturėjote naujausios versijos automatiškai. „Android“ pataisa yra naujausioje „Chrome“ versijoje, kuri šiuo metu pasiekiama „Google Play“ parduotuvėje – gali reikėti suaktyvinti rankinį naujinimą, kad įsitikintumėte, jog jį gausite laiku.