Google je v svojem brskalniku Chrome popravil par napak ničelnega dne, ki so jih že aktivno izkoriščali v naravi.
Googlova hekerska skupina Project Zero je popravila dva nova popravka napak ničelnega dne za ranljivosti v brskalniku Chrome, ki se že aktivno izkoriščajo v naravi – tretjič v dveh tednih ekipa je morala zakrpati živo ranljivost v najbolj uporabljanem spletnem brskalniku na svetu.
Ben Hawkes, vodja projekta Zero, se je v ponedeljek oglasil na Twitterju, da bi to objavil (prek ArsTechnica):
Prva, s kodnim imenom CVE-2020-16009, je napaka pri oddaljenem izvajanju kode v V8, motorju Javascript po meri, ki se uporablja v Chromiumu. Drugi, kodiran CVE-2020-16010, je preliv medpomnilnika na osnovi kopice, značilen za različico Chroma za Android, ki uporabnikom omogoča zunaj okolju peskovnika, tako da lahko izkoriščajo zlonamerno kodo, morda iz drugega izkoriščanja ali morda povsem drugega eno.
Marsičesa ne vemo - Project Zero pogosto uporablja osnovo "potrebno vedeti", da se dejansko ne spremeni v vadnico "kako vdreti" - vendar lahko zberemo nekaj informacij. Ne vemo, na primer, kdo je odgovoren za izkoriščanje pomanjkljivosti, vendar glede na to prvi (16009) je odkrila skupina za analizo groženj, kar bi lahko pomenilo, da ga sponzorira država. igralec. Ne vemo, katere različice Chroma so ciljne, zato vam priporočamo, da predpostavite odgovor je "tista, ki jo imate" in posodobite, kjer koli je mogoče, če nimate najnovejše različice samodejno. Popravek za Android je v najnovejši različici Chroma, ki je trenutno na voljo v trgovini Google Play – morda boste morali sprožiti ročno posodobitev, da jo boste prejeli pravočasno.