Google heeft een aantal zero-day-fouten in zijn Chrome-browser verholpen, die al actief in het wild werden uitgebuit.
Google's Project Zero white-hat hacker-team heeft twee nieuwe zero-day bugfixes gepatcht voor kwetsbaarheden in de Chrome-browser, die al actief worden uitgebuit in het wild – de derde keer over twee weken het team heeft een live kwetsbaarheid in de meest gebruikte webbrowser ter wereld moeten patchen.
Ben Hawkes, het hoofd van Project Zero, ging maandag naar Twitter om de aankondiging te doen (via ArsTechnica):
De eerste, met codenaam CVE-2020-16009, is een bug bij het uitvoeren van externe code in V8, de aangepaste Javascript-engine die in Chromium wordt gebruikt. De tweede, gecodeerde CVE-2020-16010 is een heap-gebaseerde bufferoverflow, specifiek voor de Android-versie van Chrome, waarmee gebruikers buiten de sandbox-omgeving, waardoor ze de vrijheid hebben om kwaadaardige code te misbruiken, misschien van de andere exploit, of misschien een heel andere een.
Er is veel dat we niet weten – Project Zero gebruikt vaak een ‘need to know’-basis, anders wordt het feitelijk een ‘hoe te hacken’-tutorial – maar we kunnen wel wat informatie verzamelen. We weten bijvoorbeeld niet wie verantwoordelijk is voor het uitbuiten van de tekortkomingen, maar gegeven dat wel het eerste (16009) werd ontdekt door de Threat Analysis Group, wat heel goed zou kunnen betekenen dat het een door de staat gesponsorde acteur. We weten niet welke versies van Chrome worden getarget, dus we raden u aan om uit te gaan van het volgende het antwoord is “degene die je hebt” en update waar mogelijk als je niet de nieuwste versie hebt gehad automatisch. De Android-patch is in de nieuwste versie van Chrome, momenteel verkrijgbaar in de Google Play Store. Mogelijk moet u een handmatige update activeren om er zeker van te zijn dat u deze tijdig ontvangt.