Google savā pārlūkprogrammā Chrome ir izlabojis pāris nulles dienas trūkumus, kas jau tika aktīvi izmantoti savvaļā.
Google Project Zero white-hat hakeru komanda ir izlabojusi divus jaunus nulles dienas kļūdu labojumus pārlūkprogrammas Chrome ievainojamībām, kas jau tiek aktīvi izmantotas savvaļā — trešo reizi. divu nedēļu laikā komandai ir nācies aizlāpīt dzīvu ievainojamību pasaulē visbiežāk izmantotajā tīmekļa pārlūkprogrammā.
Bens Houkss, Project Zero vadītājs, pirmdien sociālajā tīklā Twitter paziņoja (izmantojot ArsTechnica):
Pirmā, ar koda nosaukumu CVE-2020-16009, ir attālinātas koda izpildes kļūda V8 — pielāgotajā Javascript dzinējā, ko izmanto pārlūkprogrammā Chromium. Otrais kodētais CVE-2020-16010 ir uz kaudzes balstīta bufera pārpilde, kas raksturīga Chrome Android versijai un ļauj lietotājiem ārpus tā. smilškastes vidi, ļaujot viņiem brīvi izmantot ļaunprātīgu kodu, iespējams, no cita ļaunprātīga koda, vai varbūt pavisam citu viens.
Daudz ko mēs nezinām — Project Zero bieži izmanto “nepieciešamības zināt”, lai tas faktiski nepārvērstos par apmācību “kā uzlauzt”, taču mēs varam iegūt dažus informācijas fragmentus. Mēs nezinām, piemēram, kurš ir atbildīgs par trūkumu izmantošanu, bet, ņemot vērā to, pirmais (16009) atklāja draudu analīzes grupa, kas varētu nozīmēt, ka tā ir valsts sponsorēta aktieris. Mēs nezinām, kuras Chrome versijas tiek atlasītas, tāpēc iesakām pieņemt, ka atbilde ir “tā, kas jums ir” un atjauniniet, kur vien iespējams, ja jums nav bijusi jaunākā versija automātiski. Android ielāps ir jaunākajā Chrome versijā, kas pašlaik ir pieejama Google Play veikalā. Iespējams, jums būs jāaktivizē manuāls atjauninājums, lai pārliecinātos, ka to saņemsit savlaicīgi.