CVE-2020-16010 er endnu en kritisk nul-dag, som Google for nylig lappede. Denne gang, påvirket er Android-versionen af Chrome-browseren. Sårbarheden er et stort bufferoverløb i brugergrænsefladen i Google Chrome på Android i versioner før 86.0.4240.185.
Hvad er CVE-2020-16010?
CVE-2020-16010 kunne tillade en fjernangriber, der havde kompromitteret rendererprocessen, potentielt at udføre en sandkasseudslip ved hjælp af en udformet HTML-side.
Noter det "Google er opmærksom på det af rapporter om, at der findes en udnyttelse til CVE-2020-16010 i naturen. ” Ud over fejlrettelsen, den seneste udgivelse af Chrome til Android indeholder også forbedringer af stabilitet og ydeevne.
Goole adresserede også en anden fejl i Chrome til desktop – CVE-2020-16009. Denne fejl beskrives som en upassende implementeringsfejl i V8, Chrome's open source JavaScript-motor. Fejlen udnyttes i angreb med fjernudførelse gennem en udformet HTML-side.
Chrome-brugere skal straks opdatere deres installationer.
Ikke den første nul-dags udnyttet i år
Tidligere i denne måned, sikkerhedsforskere afslørede oplysninger om CVE-2020-15999, en anden nul-dages fejl i Chrome, som blev udnyttet aktivt. Denne nul-dag er en form for sårbarhed i hukommelseskorruption, kendt som bunkebufferoverløb i FreeType, et open source-udviklingsbibliotek til gengivelse af skrifttyper inkluderet i standard Chrome-distributioner.
Fejlen blev opdaget af Google Project Zeros sikkerhedsforsker Sergei Glazunov i oktober 19. Hvad er mere, CVE-2020-15999 er den tredje nul-dag udnyttet i angreb i det forløbne år. CVE-2019-13720 blev set i oktober 2019, og CVE-2020-6418 - i februar 2020. CVE-2019-13720 var et problem efter brug efter brug, relateret til hukommelseskorruption, der henviser til, at CVE-2020-6418 var en type forvirringssårbarhed.