Вчера Google выпустила Chrome 86.0.4240.183 для Windows, Mac и Linux, чтобы устранить 10 уязвимостей безопасности, включая удаленное выполнение кода (RCE) нулевого дня, эксплуатируемое в дикой природе.
О нулевом дне сообщили Клемент Лесин из группы анализа угроз Google и Самуэль Гросс из Google Project Zero 29 октября 2020 года.
Нет подробностей относительно атак в дикой природе
Уязвимость RCE отслеживается как CVE-2020-16009 и описывается как несоответствующая реализация в V8 , высокопроизводительном движке WebAssembly и JavaScript с открытым исходным кодом Google и на основе C ++.Хотя Google заявляет, что ему «известны сообщения о том, что эксплойт для CVE-2020-16009 существует в дикой природе», компания не предоставила никаких подробностей относительно участников угроз, стоящих за этими атаками.
«Доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновят исправление», - добавляет Google.
«Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но еще не исправлена».
Сегодня Google исправил еще одну уязвимость нулевого дня в Chrome для Android, эксплуатируемую в дикой природе, - уязвимость, позволяющую избежать изолированной программной среды, которая обозначена как CVE-2020-16010.
CVE-2020-16009 - это вторая активно эксплуатируемая уязвимость нулевого дня Chrome, исправленная за последние две недели после ошибки нулевого дня переполнения буфера кучи, обнаруженной в библиотеке рендеринга текста FreeType .
На прошлой неделе команда Google Project Zero 0day по поиску ошибок раскрыла активно использовавшееся повышение привилегий ядра Windows (EoP) нулевого дня, отслеживаемое как CVE-2020-17087, затрагивающее все версии между Windows 7 и Windows 10.
Устранены шесть других недостатков безопасности
Google также исправил шесть других уязвимостей высокой степени опасности в Chrome 86.0.4240.183:- CVE-2020-16004: использовать после бесплатного использования в пользовательском интерфейсе. Об этом сообщили Ликрасо и Гуан Гун из 360 Alpha Lab, работающей с 360 BugCloud, 15 октября 2020 г.
- CVE-2020-16005: недостаточное применение политики в ANGLE. Об этом сообщил Джехун Чон (@ n3sk) из Theori 16.10.2020.
- CVE-2020-16006: неправильная реализация в V8. Об этом сообщил Билл Паркс 29 сентября 2020 г.
- CVE-2020-16007: недостаточная проверка данных в установщике. Об этом сообщил Абдельхамид Насери (халов) 2020-09-04.
- CVE-2020-16008: переполнение буфера стека в WebRTC. Об этом сообщает Толя Корнильцев 01.10.2020.
- CVE-2020-16011: переполнение буфера кучи в пользовательском интерфейсе Windows. Об этом сообщил Сергей Глазунов из Google Project Zero 01.11.2020.
Затем веб-браузер автоматически проверит наличие нового обновления и установит его, когда оно станет доступным.
Обновление 2 ноября, 16:52 EST: добавлена информация об активно эксплуатируемом нулевом дне в Chrome для Android.
Bleeping computer
Последнее редактирование: