Η Google κυκλοφόρησε χθες τη νέα έκδοση Chrome 86.0.4240.111, με ενημερώσεις ασφαλείας, για να διορθώσει μια zero-day ευπάθεια που, σύμφωνα με την εταιρεία, χρησιμοποιείται ήδη από εγκληματίες του κυβερνοχώρου.
Η zero-day ευπάθεια έχει ονομαστεί από τους ερευνητές “CVE-2020-15999” και περιγράφεται ως σφάλμα που επηρεάζει τη μνήμη στο FreeType font rendering library, που υπάρχει σε τυπικές διανομές Chrome.
Οι ερευνητές ασφαλείας του Project Zero (εσωτερική ομάδα ασφάλειας της Google) εντόπισαν επιθέσεις που εκμεταλλεύονται τη zero-day ευπάθεια στο FreeType.
Σύμφωνα με τον επικεφαλής της ομάδας Project Zero, Ben Hawkes, υπάρχει τουλάχιστον μια hacking ομάδα που εκμεταλλεύεται αυτό το σφάλμα για να στοχεύσει χρήστες του Chrome.
Ο Hawkes προτρέπει ακόμα και τους προμηθευτές άλλων εφαρμογών, που χρησιμοποιούν την ίδια βιβλιοθήκη FreeType, να ενημερώσουν επίσης το λογισμικό τους, καθώς οι επιτιθέμενοι μπορεί να αποφασίσουν να μετατοπίσουν τις επιθέσεις τους και να στοχεύσουν και άλλες εφαρμογές. Γι’ αυτό το λόγο, η Google κυκλοφόρησε χθες το FreeType 2.10.4, για να βοηθήσει τους προμηθευτές να διορθώσουν την ευπάθεια.
Όσον αφορά στους χρήστες του Chrome, μπορούν να λάβουν τη νέα έκδοση v86.0.4240.111 μέσω της ενσωματωμένης λειτουργίας ενημερώσεων του προγράμματος περιήγησης (πηγαίνετε στο μενού Chrome, πατήστε “Βοήθεια” και πηγαίνετε στην ενότητα “Σχετικά με το Google Chrome”).
Προς το παρόν, δεν έχουν κυκλοφορήσει περισσότερες λεπτομέρειες σχετικά με τη zero-day ευπάθεια CVE-2020-15999. Η Google, συνήθως, αποφεύγει να δημοσιεύσει τεχνικές λεπτομέρειες για μήνες, για να δώσει στους χρήστες αρκετό χρόνο να ενημερώσουν τα συστήματά τους, χωρίς να κινδυνεύσουν από επιθέσεις (όσο περνάει από το χέρι της εταιρείας).
Ωστόσο, δεδομένου ότι το patch για τη zero-day ευπάθεια είναι ορατό στον source code του FreeType (ενός open source project), οι επιτιθέμενοι θα μπορούσαν να κάνουν reverse-engineering και να βρουν τα δικά τους exploits μέσα στις επόμενες ημέρες-εβδομάδες.
Σύμφωνα με το ZDNet, η ευπάθεια CVE-2020-15999 είναι το τρίτο σφάλμα αυτού του είδους (zero-day), στο Google Chrome, που χρησιμοποιείται από hackers τον τελευταίο χρόνο. Τα δύο προηγούμενα ήταν το CVE-2019-13720 (Οκτώβριος 2019) και το CVE-2020-6418 (Φεβρουάριος 2020).