Google закрыла в Chrome ещё две уязвимости нулевого дня. За месяц их было устранено уже пять

11 ноября 2020 года Google выпустила обновление браузера Chrome — версию 86.0.4240.198 для Windows, Mac и Linux. В этой сборке специалисты компании устранили две уязвимости нулевого дня — CVE-2020-16013 и CVE-2020-16017. Информацию об этих уязвимостях передали в Google анонимные источники. За прошедшие три недели в коде браузера также были закрыты (новые версии браузера от 20 октября и 2 ноября) три уязвимости — CVE-2020-15999, CVE-2020-16009 и CVE-2020-16010. Они были обнаружены ранее специалистами из команды Google Project Zero и внутренней командой Google Threat Analysis Group (TAG).

Google пояснила в своем описании новой версии браузера, что уязвимость CVE-2020-16013 связана с несоответствующей реализацией в V8, JavaScript движке Chrome. Вторая уязвимость CVE-2020-16017 обозначена как ошибка повреждения памяти при использовании данных после освобождения памяти (use after free) в компоненте браузера Chrome под названием Site Isolation. Этот элемент изолирует данные разных сайтов друг от дружки.

Google не уточнила подробности обнаружения двух новых уязвимостей и фактов их вероятного применения. Компания пообещала раскрыть информацию по ним после того, как большинство пользователей установят новое обновление браузера.

Примечательно, что ранее обнаруженная уязвимость нулевого дня CVE-2020-16009 также связана с работой движка JavaScript V8 Chrome. Используя эту уязвимость злоумышленники могли удаленно выполнить произвольный код в браузере. Причем Google пояснила, что зафиксировала факты применения эксплойтов, использующих эту уязвимость.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»