Η Google κυκλοφόρησε σήμερα μια ενημερωμένη έκδοση του Chrome για να αντιμετωπίσει τρία σφάλματα ασφαλείας, συμπεριλαμβανομένης μιας ευπάθειας zero-day.
Οι λεπτομέρειες σχετικά με αυτές τις επιθέσεις δεν είναι ακόμη δημόσιες και δεν γνωρίζουμε πώς χρησιμοποιείται αυτό το σφάλμα κατά των χρηστών του Chrome.
Το μόνο που γνωρίζουμε είναι ότι οι επιθέσεις ανακαλύφθηκαν την περασμένη εβδομάδα, στις 18 Φεβρουαρίου, από τον Clement Lecigne, μέλος της ομάδας ανάλυσης απειλών της Google, τμήμα της Google που ερευνά και παρακολουθεί ομάδες απειλών.
Οι ενημερώσεις κώδικα για αυτή την zero-day ευπάθεια έχουν απελευθερώσει μέρος της έκδοσης Chrome 80.0.3987.122. Η ενημέρωση είναι διαθέσιμη για χρήστες Windows, Mac και Linux, αλλά όχι Chrome OS, iOS και Android.
Η zero-day ευπάθεια αναφέρεται ως CVE-2020-6418 και περιγράφεται μόνο ως “type confusion στο V8”.
Το V8 είναι το στοιχείο του Chrοme που είναι υπεύθυνο για την επεξεργασία του κώδικα JavaScript.
Το type confusion αναφέρεται σε σφάλματα κωδικοποίησης κατά τα οποία μια εφαρμογή αρχικοποιεί λειτουργίες εκτέλεσης δεδομένων χρησιμοποιώντας είσοδο συγκεκριμένου “τύπου”, αλλά εξαπατάται για να αντιμετωπίζει την είσοδο ως διαφορετικό “τύπο”.
Το “type confusion” οδηγεί σε λογικά σφάλματα στη μνήμη της εφαρμογής και μπορεί να οδηγήσει σε καταστάσεις στις οποίες ένας εισβολέας μπορεί να εκτελέσει απεριόριστο κακόβουλο κώδικα μέσα σε μια εφαρμογή.
Αυτό είναι το τρίτο zero-day του Chrοme που εμφανίζεται κατά την διάρκεια του προηγούμενου χρόνου.
Η Google διόρθωσε την zero-day ευπάθεια του Chrοme τον Μάρτιο του περασμένου έτους (CVE-2019-5786 στο Chrοme 72.0.3626.121) και έπειτα μια δεύτερη εμφανίστηκε τον Νοέμβριο (CVE-2019-13720 στο Chrome 78.0.3904.8).
Θα σας ενημερώσουμε σε περίπτωση που η Google μοιραστεί περισσότερες πληροφορίες σχετικά με τις πρόσφατες επιθέσεις. Εν τω μεταξύ, συνιστάται στους χρήστες να ενημερώσουν τον Chrοme το συντομότερο δυνατό.
Το Chrome v80.0.3987.122 έρχεται επίσης με δύο πρόσθετες ενημερώσεις ασφαλείας.
