Chrome опять прохудился: Google исправила вторую за две недели уязвимость нулевого дня
Вчера поздно вечером Google предоставила для загрузки новую исправленную версию браузера Chrome. В новой версии 86.0.4240.183 исправлено десять ошибок безопасности, включая активно эксплуатируемую хакерами уязвимость нулевого дня. Интересно, что это уже вторая за две недели уязвимость нулевого дня, которую пришлось латать в спешном порядке. Пришло время повысить гонорары «белым» хакерам?
Новая уязвимость нулевого дня, которая получила индекс CVE-2020-16009, обнаружена группой анализа угроз Google Threat Analysis Group (TAG). Как обычно для случаев обнаружения уязвимостей нулевого дня, подробности о механизме работы уязвимости и о том, кто её эксплуатирует, не сообщаются, чтобы у пользователей было время обновить браузер до защищённой версии. Вкратце исследователи поясняют, что уязвимость обнаружена в компоненте Chrome V8, который обрабатывает код JavaScript.
Около двух недель назад Google также в срочном порядке обновила Chrome из-за найденной уязвимости нулевого дня в библиотеке рендеринга шрифтов FreeType (CVE-2020-15999). Более того, уязвимость FreeType, как выяснилось, активно эксплуатировалась хакерами в сочетании с уязвимостью нулевого дня в Windows (CVE-2020-17087). Уязвимость в Windows позволяет повысить привилегии вредоносного кода через уязвимость FreeType для выполнения в браузере Chrome и атаке на систему. Исправления Microsoft ожидаются 10 ноября в ходе планового обновления безопасности. Исправленный браузер Chrome предлагается загрузить самостоятельно и немедленно.