Google har lappet et par nulldagers feil i Chrome-nettleseren som allerede ble aktivt utnyttet i naturen.
Googles Project Zero white-hat-hackergruppe har lappet to nye zero-day-feilrettinger for sårbarheter i Chrome-nettleseren, som allerede blir utnyttet aktivt i naturen – tredje gang om to uker teamet har måttet lappe en live sårbarhet i verdens mest brukte nettleser.
Ben Hawkes, lederen av Project Zero tok til Twitter på mandag for å komme med kunngjøringen (via ArsTechnica):
Den første, kodenavnet CVE-2020-16009, er en ekstern kodeutførelsesfeil i V8, den tilpassede Javascript-motoren som brukes i Chromium. Den andre, kodede CVE-2020-16010 er en heap-basert bufferoverflyt, spesifikt for Android-versjonen av Chrome, som lar brukere utenfor sandkassemiljøet, slik at de kan utnytte ondsinnet kode, kanskje fra den andre utnyttelsen, eller kanskje en helt annen en.
Det er mye vi ikke vet - Project Zero bruker ofte et "need to know"-grunnlag, for at det ikke faktisk blir til en "hvordan hacke"-opplæringen - men vi kan hente inn noen biter av informasjon. Vi vet for eksempel ikke hvem som er ansvarlig for å utnytte feilene, men gitt det den første (16009) ble oppdaget av Threat Analysis Group, noe som godt kan bety at det er en statsstøttet skuespiller. Vi vet ikke hvilke versjoner av Chrome som er målrettet, så vi anbefaler at du antar svaret er "den du har" og oppdater der det er mulig hvis du ikke har den nyeste versjonen automatisk. Android-oppdateringen er i den nyeste versjonen av Chrome, for øyeblikket tilgjengelig fra Google Play-butikken – du må kanskje utløse en manuell oppdatering for å være sikker på å motta den i tide.