Google har korrigerat ett par nolldagarsbrister i sin Chrome-webbläsare som redan exploaterades aktivt i naturen.
Googles Project Zero white-hat hackergrupp har korrigerat två nya zero-day buggfixar för sårbarheter i webbläsaren Chrome, som redan utnyttjas aktivt i naturen – tredje gången om två veckor teamet har varit tvungen att korrigera en live sårbarhet i världens mest använda webbläsare.
Ben Hawkes, chefen för Project Zero tog till Twitter på måndagen för att göra tillkännagivandet (via ArsTechnica):
Den första, med kodnamnet CVE-2020-16009, är en fjärrkodexekveringsbugg i V8, den anpassade Javascript-motorn som används i Chromium. Den andra, kodade CVE-2020-16010 är ett heapbaserat buffertspill, specifikt för Android-versionen av Chrome, som låter användare utanför sandlådemiljön, vilket ger dem fria att utnyttja skadlig kod, kanske från den andra exploateringen, eller kanske en helt annan ett.
Det finns mycket vi inte vet - Project Zero använder ofta en "need to know"-bas, så att det inte faktiskt förvandlas till en "hur man hackar" handledning - men vi kan samla in lite information. Vi vet till exempel inte vem som är ansvarig för att utnyttja bristerna, men med tanke på att den första (16009) upptäcktes av Threat Analysis Group, vilket mycket väl kan betyda att det är en statligt sponsrad skådespelare. Vi vet inte vilka versioner av Chrome som är inriktade på, så vi rekommenderar att du antar svaret är "den du har" och uppdatera när det är möjligt om du inte har den senaste versionen automatiskt. Android-patchen finns i den senaste versionen av Chrome, för närvarande tillgänglig från Google Play Butik – du kan behöva utlösa en manuell uppdatering för att vara säker på att få den i tid.