Google a corectat o pereche de defecte zero-day în browserul său Chrome, care erau deja exploatate activ în sălbăticie.
Echipa de hackeri cu pălărie albă Project Zero de la Google a corectat două noi remedieri de erori zero-day pentru vulnerabilități din browserul Chrome, fiind deja exploatate activ în sălbăticie – a treia oară în două săptămâni echipa a fost nevoită să corecteze o vulnerabilitate în cel mai folosit browser web din lume.
Ben Hawkes, șeful Proiectului Zero, a trimis luni pe Twitter pentru a face anunțul (via ArsTechnica):
Primul, cu numele de cod CVE-2020-16009, este o eroare de execuție a codului de la distanță în V8, motorul Javascript personalizat utilizat în Chromium. Al doilea, codificat CVE-2020-16010 este un buffer overflow bazat pe heap, specific versiunii Android a Chrome, care permite utilizatorilor să iasă în afara mediul sandbox, lăsându-i liberi să exploateze cod rău intenționat, poate din celălalt exploit, sau poate cu totul diferit unu.
Sunt multe lucruri pe care nu le știm - Proiectul Zero folosește adesea o bază de „trebuie să știi”, ca să nu se transforme într-un tutorial „cum să piratați” – dar putem aduna câteva informații. Nu știm, de exemplu, cine este responsabil pentru exploatarea defectelor, dar având în vedere că primul (16009) a fost descoperit de grupul de analiză a amenințărilor, ceea ce ar putea însemna că este o companie sponsorizată de stat. actor. Nu știm ce versiuni de Chrome sunt vizate, așa că vă recomandăm să vă asumați răspunsul este „cel pe care îl aveți” și actualizați ori de câte ori este posibil dacă nu ați avut cea mai recentă versiune automat. Patch-ul Android se află în cea mai recentă versiune de Chrome, disponibilă în prezent din Magazinul Google Play - poate fi necesar să declanșați o actualizare manuală, pentru a fi sigur că o primiți în timp util.