Google, Chrome tarayıcısında halihazırda aktif olarak istismar edilen bir çift sıfır gün kusurunu düzeltti.
Google'ın Project Zero beyaz şapkalı hacker ekibi, Chrome Tarayıcıdaki güvenlik açıklarına yönelik olarak halihazırda aktif olarak istismar edilen iki yeni sıfır gün hata düzeltmesini üçüncü kez yamaladı İki hafta içinde Ekip, dünyanın en çok kullanılan web tarayıcısındaki canlı bir güvenlik açığını düzeltmek zorunda kaldı.
Project Zero'nun başkanı Ben Hawkes, duyuruyu yapmak için Pazartesi günü Twitter'a gitti (üzerinden) ArsTechnica):
Kod adı CVE-2020-16009 olan ilki, Chromium'da kullanılan özel Javascript motoru olan V8'deki bir uzaktan kod yürütme hatasıdır. CVE-2020-16010 kodlu ikinci, Chrome'un Android sürümüne özel, yığın tabanlı bir arabellek taşması olup, kullanıcıların dışarı çıkmasına izin verir. Korumalı alan ortamını, belki başka bir istismardan veya belki tamamen farklı bir istismardan gelen kötü amaçlı koddan yararlanmaya serbest bırakır. bir.
Bilmediğimiz çok şey var - Project Zero, aslında bir 'nasıl hacklenir' eğitimine dönüşmesin diye genellikle 'bilinmesi gerekenler' ilkesini kullanıyor - ancak bazı bilgileri toplayabiliyoruz. Örneğin kusurlardan kimin sorumlu olduğunu bilmiyoruz, ancak ilk (16009) Tehdit Analizi Grubu tarafından keşfedildi; bu da onun devlet destekli olduğu anlamına gelebilir. aktör. Chrome'un hangi sürümlerinin hedeflendiğini bilmiyoruz; bu nedenle, cevap "sahip olduğunuz" olacaktır ve en son sürüme sahip değilseniz mümkün olan her yerde güncelleyin otomatik olarak. Android yaması, Chrome'un şu anda Google Play Store'da bulunan en son sürümünde yer almaktadır; zamanında aldığınızdan emin olmak için manuel bir güncellemeyi tetiklemeniz gerekebilir.