✔В Google Chrome исправили вторую 0-day уязвимость за две недели - «Новости»

Разработчики Google представили Chrome версии 86.0.4240.183 для Windows, Mac и Linux, в которой устранили 10 различных уязвимостей, включая 0-day проблему, уже активно используемую хакерам.

Баг получил идентификатор CVE-2020-16009 и был обнаружен специалистами Threat Analysis Group (TAG), внутренней командой безопасности Google, задача которой — отслеживать злоумышленников и их текущие операции. По имеющимся данным, выявленная проблема была связана с работой jаvascript-движка V8 и допускает удаленное выполнение произвольного когда (RCE).

Пока подробности об уязвимости и ее эксплуатации не разглашаются. Стоит заметить, что это обычная практика для Google: специалисты компании могут месяцами  «молчать» о технических деталях багов, чтобы не давать злоумышленникам подсказок и позволить пользователям спокойно установить обновления.

Нужно сказать, что две недели назад специалисты Google устранили еще одну 0-day уязвимость в своем браузере. Ошибка тоже была обнаружена внутри компании, специалистами Google Project Zero. Она получила  идентификатор CVE-2020-15999  и была связанна с работой библиотеки рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Известно, что баг связан с нарушением целостности информации в памяти.

Напомню, что CVE-2020-15999 использовалась в связке с другой 0-day уязвимостью — CVE-2020-17087, серьезным багом, обнаруженным в ядре Windows. Так, уязвимость в Chrome применялась для запуска вредоносного кода внутри браузера, а нулевой день в Windows пускали в ход во время второй части атаки, что позволяло злоумышленникам покинуть безопасный контейнер Chrome и выполнить код уже на уровне ОС (то есть осуществить побег из песочницы). Ожидается, что Microsoft исправит эту проблему 10 ноября, в рамках «вторника обновлений».