Google исправила пару уязвимостей нулевого дня в своем браузере Chrome, которые уже активно использовались.
Хакерский отряд Google Project Zero исправил два новых исправления ошибок нулевого дня для уязвимостей в браузере Chrome, которые уже активно используются в дикой природе — в третий раз. В течение двух недель команде пришлось исправить действующую уязвимость в самом используемом веб-браузере в мире.
Бен Хоукс, глава Project Zero, в понедельник сделал это заявление в Твиттере (через АрсТехника):
Первый, под кодовым названием CVE-2020-16009, представляет собой ошибку удаленного выполнения кода в V8, специальном движке Javascript, используемом в Chromium. Второй код CVE-2020-16010 представляет собой переполнение буфера на основе кучи, характерное для версии Chrome для Android, которое позволяет пользователям за пределами среду песочницы, что дает им возможность использовать вредоносный код, возможно, из другого эксплойта, а может быть, совершенно другого один.
Мы многого не знаем — Project Zero часто использует принцип «необходимо знать», чтобы на самом деле он не превратился в учебник «как взломать», — но мы можем почерпнуть кое-какую информацию. Мы не знаем, например, кто ответственен за эксплуатацию недостатков, но учитывая, что первый (16009) был обнаружен Группой анализа угроз, что вполне может означать, что это спонсируемый государством актер. Мы не знаем, на какие версии Chrome нацелены, поэтому рекомендуем вам предположить, что ответ «тот, который у вас есть» и обновите, где это возможно, если у вас не последняя версия автоматически. Патч для Android находится в последней версии Chrome, которая в настоящее время доступна в магазине Google Play. Возможно, вам придется запустить обновление вручную, чтобы быть уверенным в его своевременном получении.