Google remediază două noi vulnerabilități zero-day


În ultimele trei săptămâni a fost lansat un număr copleșitor de patch-uri pentru bug-uri de tip zero-day pentru software-uri dezvoltate de Google, Apple și Microsoft

Google a lansat un nou patch pentru două noi vulnerabilități de tip zero-day din browserul său web Chrome, ajungând la a cincea remediere pentru erori exploatate activ din ultimele trei săptămâni.

„Google este la curent cu rapoartele care arată că exploatările pentru CVE-2020-16013 și CVE-2020-16017 există in-the-wild”, a declarat compania cu privire la vulnerabilitățile care afectează versiunile Windows, macOS și Linux ale browserului său. Se cunosc prea puține detalii despre aceste lacune de securitate, deși gigantul tehnologic a dezvăluit că ambele sunt clasificate ca fiind de severitate ridicată și au fost raportate de cercetători externi care doresc să rămână anonimi.

Unul dintre defecte (CVE-2020-16013) este cauzat de implementarea necorespunzătoare în motorul JavaScript V8, în timp ce cealaltă lacună (CVE-2020-16017) este o problemă de corupere a memoriei localizată în Site Isolation, o caracteristică de securitate Chrome care izolează site-urile web în sandbox-uri, limitând interacțiunea dintre ele.

Utilizatorii sunt sfătuiți să își actualizeze browserele la cea mai recentă versiune (86.0.4240.198) cât mai curând posibil. Dacă aveți activate actualizările automate, browserul dvs. se va actualiza singur. În caz contrar, va trebui să o faceți manual navigând la secțiunea About Google Chrome, care poate fi găsită în meniul lateral sub butonul Help.

O mulțime de patch-uri

A fost un sezon neobișnuit de bogat în vulnerabilități zero-day. În luna octombrie, Google a remediat o eroare zero-day exploatată activ, indexată ca CVE-2020-15999, care a afectat FreeType, o bibliotecă software utilizată pe scară largă, care este, de asemenea, o componentă Chrome. Defectul a fost exploatat în lanț cu un bug zero-day la nivel de Windows cunoscut ca CVE-2020-17087 și localizat în Kernel Cryptography Driver, pe care gigantul de la Redmond l-a remediat ca parte a unei actualizări lansate săptămâna aceasta.

La începutul acestei luni, Google a lansat o altă actualizare Chrome, care remediază două noi erori de tip zero-day. Primul, CVE-2020-16009, s-a dovedit că ar afecta versiunea desktop a browserului său și a fost cauzat în parte de o implementare necorespunzătoare în V8. Cea de-a doua eroare, indexată ca CVE-2020-16010, a afectat versiunea Android a browserului și a rezultat dintr-un overflow de heap din interfața utilizatorului.

În doar câteva zile, Apple a lansat propriile actualizări pentru a rezolva trei erori în iOS aflate sub atac activ. Aceste vulnerabilități, împreună cu cele anterioare din Chrome și Windows, au fost descoperite de echipa Google Project Zero.

Amer Owaida November 13, 2020

Lasa un comentariu