Google vo svojom prehliadači Chrome opravil pár chýb zero-day, ktoré už boli aktívne využívané vo voľnej prírode.
Tím hackerov spoločnosti Google Project Zero opravil dve nové zero-day opravy chýb pre slabé miesta v prehliadači Chrome, ktoré sa už aktívne využívajú vo voľnej prírode – tretíkrát o dva týždne tím musel opraviť aktuálnu zraniteľnosť v najpoužívanejšom webovom prehliadači na svete.
Ben Hawkes, vedúci projektu Zero, v pondelok oznámil na Twitteri (cez ArsTechnica):
Prvá, s kódovým označením CVE-2020-16009, je chyba spustenia vzdialeného kódu vo V8, vlastnom jadre Javascript používanom v prehliadači Chromium. Druhý, kódovaný CVE-2020-16010 je pretečenie vyrovnávacej pamäte založené na halde, špecifické pre verziu prehliadača Chrome pre Android, ktoré umožňuje používateľom mimo prostredie karantény, čo im ponecháva možnosť využívať škodlivý kód, možno z iného exploitu, alebo možno úplne iného jeden.
Je toho veľa, čo nevieme – Project Zero často používa základ „potreba vedieť“, aby sa v skutočnosti nezmení na návod „ako hacknúť“ – ale môžeme nazbierať nejaké kúsky informácií. Nevieme napríklad, kto je zodpovedný za využitie nedostatkov, ale vzhľadom na to, že prvý (16009) objavila skupina pre analýzu hrozieb, čo by mohlo znamenať, že ide o štátom sponzorovaný herec. Nevieme, ktoré verzie prehliadača Chrome sú zacielené, preto vám odporúčame, aby ste predpokladali odpoveď je „ten, ktorý máte“ a aktualizujte ho, kedykoľvek je to možné, ak nemáte najnovšiu verziu automaticky. Oprava pre Android je v najnovšej verzii prehliadača Chrome, ktorá je momentálne k dispozícii v obchode Google Play – možno budete musieť spustiť manuálnu aktualizáciu, aby ste si boli istí, že ju dostanete včas.