Η πιο πρόσφατη ενημέρωση ασφαλείας που κυκλοφόρησε από την Google για το πρόγραμμα περιήγησης ιστού Chrome, επιδιορθώνει δέκα σφάλματα, συμπεριλαμβανομένης μία ευπάθειας zero-day που μέχρι πρότινος εκμεταλλευόταν από κακόβουλους χρήστες.
Η ευπάθεια έχει χαρακτηριστεί ως CVE-2020-16009 και ανακαλύφθηκε από την Google Threat Analysis Group (TAG), μια ομάδα ασφαλείας της εταιρείας που έχει αναλάβει την παρακολούθηση παραγόντων απειλής και των δραστηριοτήτων τους.
Όπως συνηθίζει να κάνει η Google, οι λεπτομέρειες σχετικά με την ευπάθεια και την ομάδα που εκμεταλλεύεται το σφάλμα δεν έχουν δημοσιευτεί. Με τον τρόπο αυτό οι χρήστες του Chrome έχουν περισσότερο χρόνο να εγκαταστήσουν τις ενημερώσεις, ενώ άλλοι απειλητικοί παράγοντες δεν έχουν τη δυνατότητα να ανακαλύψουν κι άλλους τρόπους εκμετάλλευσης της ευπάθειας.
Ωστόσο, σε ένα σύντομο changelog που δημοσιεύθηκε από την Google, το zero-day βρίσκεται στο V8, το στοιχείο του Chrome που χειρίζεται τον κώδικα JavaScript.
Συνιστάται στους χρήστες του Chrome να ενημερώσουν το πρόγραμμα περιήγησής τους στην έκδοση 86.0.4240.183 ή μεταγενέστερη.
Δεύτερη ευπάθεια zero-day μέσα σε δύο εβδομάδες
Η Google έχει ανακαλύψει και επιδιορθώσει δύο ευπάθειες zero-day τις τελευταίες δύο εβδομάδες.
Στις 20 Οκτωβρίου, η Google κυκλοφόρησε επίσης μια ενημέρωση ασφαλείας για το Chrome, για την επιδιόρθωση του CVE-2020-15999, μίας zero-day ευπάθειας στη βιβλιοθήκη FreeType του Chrome.
Όπως αποκάλυψε η Google την περασμένη εβδομάδα, αυτό το Chrome zero-day χρησιμοποιήθηκε μαζί με ένα Windows zero-day (CVE-2020-17087).
Το σφάλμα του Chrome χρησιμοποιήθηκε για την εκτέλεση κακόβουλου κώδικα μέσα στο Chrome, ενώ το σφάλμα των Windows χρησιμοποιήθηκε για να αυξήσει τα δικαιώματα του κώδικα και να επιτεθεί στο υποκείμενο λειτουργικό σύστημα των Windows.
Η Microsoft αναμένεται να διορθώσει αυτό το σφάλμα στις 10 Νοεμβρίου, με το επόμενο Patch Tuesday. Η Google δεν διευκρίνισε εάν αυτές οι δύο ευπάθειες εκμεταλλεύτηκαν από τον ίδιο κακόβουλο παράγοντα.
