CVE-2020-16010 ist ein weiterer kritischer Zero-Day, den Google kürzlich gepatcht hat. Dieses Mal, Betroffen ist die Android-Version des Chrome-Browsers. Die Sicherheitsanfälligkeit ist ein Heap-Puffer-Überlauf in der Benutzeroberfläche von Google Chrome unter Android in früheren Versionen 86.0.4240.185.
Was ist CVE-2020-16010??
Mit CVE-2020-16010 kann ein entfernter Angreifer, der den Renderer-Prozess kompromittiert hat, mithilfe einer gestalteten HTML-Seite möglicherweise einen Sandbox-Escape ausführen.
Beachten Sie, dass "Google ist sich bewusst von Berichten, dass ein Exploit für CVE-2020-16010 in freier Wildbahn existiert. “ Neben der Fehlerbehebung, Die neueste Version von Chrome für Android enthält auch Stabilitäts- und Leistungsverbesserungen.
Goole hat auch einen weiteren Fehler in Chrome für den Desktop behoben – CVE-2020-16009. Dieser Fehler wird in V8 als unangemessener Implementierungsfehler beschrieben, Die Open-Source-JavaScript-Engine von Chrome. Der Fehler wird bei Remote-Ausführungsangriffen über eine gestaltete HTML-Seite ausgenutzt.
Chrome-Nutzer sollten ihre Installationen sofort aktualisieren.
Nicht der erste Zero-Day in diesem Jahr
Früher in diesem Monat, Sicherheitsforscher gaben Informationen über bekannt CVE-2020-15999, Ein weiterer Zero-Day-Fehler in Chrome, der aktiv ausgenutzt wurde. Dieser Zero-Day ist eine Art Sicherheitsanfälligkeit bezüglich Speicherbeschädigung, bekannt als Heap-Puffer-Überlauf in FreeType, Eine Open-Source-Entwicklungsbibliothek zum Rendern von Schriftarten, die in Standard-Chrome-Distributionen enthalten sind.
Der Fehler wurde im Oktober vom Sicherheitsforscher von Google Project Zero, Sergei Glazunov, entdeckt 19. Was ist mehr, CVE-2020-15999 ist der dritte Zero-Day, der im vergangenen Jahr bei Angriffen ausgenutzt wurde. CVE-2019-13720 wurde im Oktober entdeckt 2019, und CVE-2020-6418 - im Februar 2020. CVE-2019-13720 war ein Problem, bei dem keine Verwendung mehr möglich war, im Zusammenhang mit Speicherbeschädigung, CVE-2020-6418 war eine Art Sicherheitslücke.