Google виправляє ще дві помилки нульового дня Chrome, які вже використовувалися

Google виправив пару недоліків нульового дня у своєму браузері Chrome, які вже активно використовувалися в дикій природі.

Команда хакерів Google Project Zero виправила два нових виправлення помилок нульового дня для вразливостей у браузері Chrome, які вже активно використовувалися в дикій природі — втретє через два тижні команді довелося виправити реальну вразливість у найпопулярнішому веб-браузері у світі.

Бен Хоукс, голова Project Zero, у понеділок оголосив у Твіттері (через ArsTechnica):

Перший під кодовою назвою CVE-2020-16009 — це помилка віддаленого виконання коду у V8, спеціальному механізмі Javascript, який використовується в Chromium. Другий, закодований CVE-2020-16010, — це переповнення буфера на основі купи, специфічне для версії Chrome для Android, яке дозволяє користувачам виходити за межі середовище пісочниці, дозволяючи їм використовувати шкідливий код, можливо, з іншого експлойта, або, можливо, зовсім іншого один.

Є багато чого, чого ми не знаємо — Project Zero часто використовує принцип «необхідно знати», щоб не перетворитися на підручник «як зламати», — але ми можемо зібрати деякі фрагменти інформації. Ми не знаємо, наприклад, хто несе відповідальність за використання недоліків, але враховуючи, що перший (16009) було виявлено Threat Analysis Group, що цілком може означати, що це спонсорована державою актор. Ми не знаємо, які версії Chrome націлені, тому рекомендуємо припустити відповідь «та, яка у вас є» і оновіть, де це можливо, якщо ви не маєте останньої версії автоматично. Виправлення для Android є в останній версії Chrome, наразі доступній у магазині Google Play — можливо, вам знадобиться запустити оновлення вручну, щоб бути впевненим, що ви отримаєте його вчасно.