Google ได้แก้ไขข้อบกพร่องแบบ Zero-day ในเบราว์เซอร์ Chrome ซึ่งถูกนำไปใช้ประโยชน์อย่างแพร่หลายอยู่แล้ว
ทีมแฮ็กเกอร์หมวกขาว Project Zero ของ Google ได้แก้ไขข้อบกพร่องแบบ Zero-day ใหม่สองรายการสำหรับช่องโหว่ในเบราว์เซอร์ Chrome ซึ่งถูกโจมตีอย่างแข็งขันในป่า – ครั้งที่สาม ภายในสองสัปดาห์ ทีมงานต้องแก้ไขช่องโหว่ในเว็บเบราว์เซอร์ที่มีการใช้งานมากที่สุดในโลก
Ben Hawkes หัวหน้า Project Zero เข้าสู่ Twitter เมื่อวันจันทร์เพื่อประกาศ (ผ่าน อาทเทคนิค):
ตัวแรกชื่อรหัส CVE-2020-16009 เป็นข้อบกพร่องในการเรียกใช้โค้ดระยะไกลใน V8 ซึ่งเป็นกลไก Javascript แบบกำหนดเองที่ใช้ใน Chromium รหัสที่สอง CVE-2020-16010 เป็นบัฟเฟอร์ล้นแบบฮีป เฉพาะสำหรับ Chrome เวอร์ชัน Android ซึ่งอนุญาตให้ผู้ใช้ภายนอก สภาพแวดล้อมแซนด์บ็อกซ์ ปล่อยให้พวกเขามีอิสระในการใช้ประโยชน์จากโค้ดที่เป็นอันตราย อาจมาจากการหาประโยชน์อื่น ๆ หรืออาจจะแตกต่างไปจากเดิมอย่างสิ้นเชิง หนึ่ง.
มีหลายอย่างที่เราไม่รู้ — Project Zero มักใช้พื้นฐาน 'จำเป็นต้องรู้' เกรงว่าจะกลายเป็นบทช่วยสอน 'วิธีแฮ็ก' จริงๆ แต่เราสามารถรวบรวมข้อมูลบางส่วนได้ ตัวอย่างเช่น เราไม่รู้ว่าใครเป็นผู้รับผิดชอบในการหาประโยชน์จากข้อบกพร่อง แต่ให้คำนึงถึงสิ่งแรกก่อน (16009) ถูกค้นพบโดยกลุ่มวิเคราะห์ภัยคุกคาม ซึ่งอาจหมายความว่าเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ นักแสดงชาย. เราไม่ทราบว่า Chrome เวอร์ชันใดถูกกำหนดเป้าหมาย ดังนั้นเราขอแนะนำให้คุณถือว่า คำตอบคือ "อันที่คุณมี" และอัปเดตทุกครั้งที่เป็นไปได้หากคุณไม่มีเวอร์ชันล่าสุด โดยอัตโนมัติ แพตช์ Android อยู่ใน Chrome เวอร์ชันล่าสุด ซึ่งขณะนี้มีให้บริการจาก Google Play Store คุณอาจต้องเรียกใช้การอัปเดตด้วยตนเองเพื่อให้แน่ใจว่าจะได้รับการอัปเดตอย่างทันท่วงที