Google załatało w swojej przeglądarce Chrome parę luk typu zero-day, które były już aktywnie wykorzystywane w środowisku naturalnym.
Zespół hakerów White Hat z Project Zero firmy Google załatał dwie nowe poprawki błędów dnia zerowego dotyczące luk w zabezpieczeniach przeglądarki Chrome, które są już aktywnie wykorzystywane w środowisku naturalnym — po raz trzeci w ciągu dwóch tygodni zespół musiał załatać lukę w najczęściej używanej przeglądarce internetowej na świecie.
Ben Hawkes, szef Projektu Zero, w poniedziałek ogłosił to na Twitterze (za pośrednictwem ArsTechnica):
Pierwszy, o nazwie kodowej CVE-2020-16009, to błąd polegający na zdalnym wykonywaniu kodu w V8, niestandardowym silniku Javascript używanym w Chromium. Drugi, o kodzie CVE-2020-16010, to przepełnienie bufora oparte na stercie, specyficzne dla wersji przeglądarki Chrome na Androida, które pozwala użytkownikom na zewnątrz środowisko piaskownicy, pozostawiając im swobodę wykorzystania złośliwego kodu, być może pochodzącego z innego exploita, a może zupełnie innego jeden.
Jest wielu rzeczy, których nie wiemy — Project Zero często opiera się na zasadzie „trzeba wiedzieć”, aby w rzeczywistości nie przekształcił się w samouczek „jak zhakować” — ale możemy zebrać trochę informacji. Nie wiemy na przykład, kto jest odpowiedzialny za wykorzystanie wad, ale biorąc pod uwagę to pierwsze (16009) został odkryty przez Grupę ds. Analizy Zagrożeń, co może oznaczać, że jest to program sponsorowany przez państwo aktor. Nie wiemy, które wersje przeglądarki Chrome są celem, dlatego zalecamy założenie odpowiedź brzmi „ta, którą posiadasz” i zaktualizuj ją, jeśli to możliwe, jeśli nie masz najnowszej wersji automatycznie. Łatka na Androida znajduje się w najnowszej wersji przeglądarki Chrome, obecnie dostępnej w sklepie Google Play — może być konieczne uruchomienie ręcznej aktualizacji, aby mieć pewność, że zostanie ona otrzymana na czas.