Casa > Cyber ​​Notizie > CVE-2020-15999: FreeType Zero-Day Bug in Chrome Exploited in the Wild
CYBER NEWS

CVE-2020-15999: FreeType Zero-Day Bug in Chrome Exploited in the Wild

Stai utilizzando l'ultima versione di Google Chrome (attualmente 86.0.4240.111)? Ti consigliamo di verificare se il tuo browser Chrome è aggiornato poiché potrebbe essere soggetto a exploit. Il modo migliore per farlo è accedere al menu di Chrome, selezionando Guida e su Google Chrome.

Perché dovresti essere preoccupato? I ricercatori di cybersecurity hanno scoperto una serie di vulnerabilità ad alta gravità, compreso CVE-2020-15999, un bug zero-day sfruttato in natura in attacchi mirati.




CVE-2020-15999 Bug Zero-Day in Google Chrome

Lo zero-day attivamente sfruttato è un tipo di vulnerabilità di danneggiamento della memoria, noto come overflow del buffer di heap in FreeType, una libreria di sviluppo open source per il rendering dei caratteri inclusi nelle distribuzioni Chrome standard. Il difetto è stato scoperto dal ricercatore sulla sicurezza di Google Project Zero Sergei Glazunov lo scorso ottobre 19.

Ben Hawkes, Il team leader di Project Zero, afferma che gli hacker hanno abusato della vulnerabilità FreeType negli attacchi contro gli utenti di Chrome. Il ricercatore esorta altri fornitori di app che utilizzano FreeType ad aggiornare il loro software per aggirare eventuali futuri exploit. La libreria FreeType è stata modificata nella versione 2.10.4.

Cos'altro si sa sullo sfruttamento della vulnerabilità di FreeType Chrome? I dettagli sono scarsi in quanto Google è solitamente riluttante a rivelare informazioni tecniche in modo che gli utenti abbiano abbastanza tempo per l'aggiornamento. Tuttavia, esiste un problema: la patch per il bug è visibile nel codice sorgente di FreeType, il che significa che gli autori delle minacce potrebbero essere in grado di decodificarla e creare nuovi exploit.

È interessante notare che CVE-2020-15999 è il terzo zero-day sfruttato negli attacchi nell'ultimo anno. CVE-2019-13720 è stato avvistato a ottobre 2019, e CVE-2020-6418 - a febbraio 2020. CVE-2.019-13.720 era un problema da usare dopo il libero, relativi alla corruzione della memoria, mentre CVE-2020-6418 era una vulnerabilità di confusione di tipo.

Oltre a CVE-2020-15999, Google ha anche affrontato altre quattro vulnerabilità, tre dei quali classificati ad alto rischio:

  • CVE-2020-16000: Implementazione inadeguata in Blink;
  • CVE-2020-16001: Utilizzare dopo gratuito nei media;
  • CVE-2020-16002: Utilizzare dopo gratis in PDFium;
  • CVE-2020-16003: Utilizzare dopo la stampa gratuita (classificato come medio).

Ti consigliamo vivamente di farlo aggiorna i tuoi browser Chrome alla versione 86.0.4240.111 per rimanere protetti.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo