✔В Google Chrome исправили вторую 0-day уязвимость за две недели - «Новости»

09 ноября 2020 1 058 Новости / Заработок / Вёрстка / Преимущества стилей / Изображения 0

Баг получил идентификатор CVE-2020-16009 и был обнаружен специалистами Threat Analysis Group (TAG), внутренней командой безопасности Google, задача которой — отслеживать злоумышленников и их текущие операции. По имеющимся данным, выявленная проблема была связана с работой jаvascript-движка V8 и допускает удаленное выполнение произвольного когда (RCE).

Пока подробности об уязвимости и ее эксплуатации не разглашаются. Стоит заметить, что это обычная практика для Google: специалисты компании могут месяцами «молчать» о технических деталях багов, чтобы не давать злоумышленникам подсказок и позволить пользователям спокойно установить обновления.

Нужно сказать, что две недели назад специалисты Google устранили еще одну 0-day уязвимость в своем браузере. Ошибка тоже была обнаружена внутри компании, специалистами Google Project Zero. Она получила идентификатор CVE-2020-15999 и была связанна с работой библиотеки рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Известно, что баг связан с нарушением целостности информации в памяти.

Напомню, что CVE-2020-15999 использовалась в связке с другой 0-day уязвимостью — CVE-2020-17087, серьезным багом, обнаруженным в ядре Windows. Так, уязвимость в Chrome применялась для запуска вредоносного кода внутри браузера, а нулевой день в Windows пускали в ход во время второй части атаки, что позволяло злоумышленникам покинуть безопасный контейнер Chrome и выполнить код уже на уровне ОС (то есть осуществить побег из песочницы). Ожидается, что Microsoft исправит эту проблему 10 ноября, в рамках «вторника обновлений».

Разработчики Google представили Chrome версии 86.0.4240.183 для Windows, Mac и Linux, в которой устранили 10 различных уязвимостей, включая 0-day проблему, уже активно используемую хакерам. Баг получил идентификатор CVE-2020-16009 и был обнаружен специалистами Threat Analysis Group (TAG), внутренней командой безопасности Google, задача которой — отслеживать злоумышленников и их текущие операции. По имеющимся данным, выявленная проблема была связана с работой jаvascript-движка V8 и допускает удаленное выполнение произвольного когда (RCE). Пока подробности об уязвимости и ее эксплуатации не разглашаются. Стоит заметить, что это обычная практика для Google: специалисты компании могут месяцами «молчать» о технических деталях багов, чтобы не давать злоумышленникам подсказок и позволить пользователям спокойно установить обновления. Нужно сказать, что две недели назад специалисты Google устранили еще одну 0-day уязвимость в своем браузере. Ошибка тоже была обнаружена внутри компании, специалистами Google Project Zero. Она получила идентификатор CVE-2020-15999 и была связанна с работой библиотеки рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Известно, что баг связан с нарушением целостности информации в памяти. Напомню, что CVE-2020-15999 использовалась в связке с другой 0-day уязвимостью — CVE-2020-17087, серьезным багом, обнаруженным в ядре Windows. Так, уязвимость в Chrome применялась для запуска вредоносного кода внутри браузера, а нулевой день в Windows пускали в ход во время второй части атаки, что позволяло злоумышленникам покинуть безопасный контейнер Chrome и выполнить код уже на уровне ОС (то есть осуществить побег из песочницы). Ожидается, что Microsoft исправит эту проблему 10 ноября, в рамках «вторника обновлений».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.