Google исправила уязвимость нулевого дня в Chrome

Ср 21 Октябрь 2020 06:57

Во вторник, 20 октября, компания Google выпустила новую версию своего браузера Chrome 86.0.4240.111, в которой была исправлена активно эксплуатируемая киберпреступниками уязвимость нулевого дня. Уязвимость повреждения памяти ( CVE-2020-15999 ) присутствует в библиотеке рендеринга шрифтов FreeType, включенную в стандартные дистрибутивы Chrome.

Атаки с эксплуатацией данной уязвимости были обнаружены одним из исследователей команды Google Project Zero. По словам ее руководителя Бена Хоукса (Ben Hawkes), киберпреступники используют баг в библиотеке FreeType для атак на пользователей Chrome. Однако он рекомендует производителям других приложений, где используется FreeType, также выпустить исправления на случай, если хакеры решат переключиться на них.

Патч для уязвимости реализован в версии FreeType 2.10.4, вышедшей 20 октября.

Google пока не раскрывает подробности об уязвимости, чтобы не давать подсказок киберпреступникам. Как правило, компания не публикует подробности об уязвимостях в своих продуктах в течение месяцев, давая пользователям достаточно времени на их исправление.

Тем не менее, поскольку патч для уязвимости виден в исходном коде FreeType (библиотека является проектом с открытым исходным кодом), злоумышленники могут осуществить реверс-инжиниринг и в течение нескольких недель или даже дней разработать эксплоит.

За последние двенадцать месяцев это уже третья уязвимость нулевого дня в Chrome, активно эксплуатирующаяся хакерами. Первая ( CVE-2019-13720 ) была исправлена в октябре 2019 года, а вторая ( CVE-2020-6418 ) – в феврале 2020 года.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 257 дней 22 часа 50 минут 57 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.