CVE-2020-16010 è l'ennesimo zero-day critico che Google ha recentemente corretto. Questa volta, interessata è la versione Android del browser Chrome. La vulnerabilità è un overflow del buffer di heap nell'interfaccia utente di Google Chrome su Android nelle versioni precedenti 86.0.4240.185.
Cos'è CVE-2020-16010?
CVE-2020-16010 potrebbe consentire a un utente malintenzionato remoto che ha compromesso il processo di rendering di eseguire potenzialmente una fuga dalla sandbox utilizzando una pagina HTML predisposta.
Nota che "Google è a conoscenza dei rapporti che un exploit per CVE-2020-16010 esiste in natura. " Oltre alla correzione dei bug, l'ultima versione di Chrome per Android include anche miglioramenti della stabilità e delle prestazioni.
Goole ha anche risolto un altro bug in Chrome per desktop – CVE-2020-16009. Questo difetto è descritto come un difetto di implementazione inappropriato in V8, Il motore JavaScript open source di Chrome. Il bug viene sfruttato negli attacchi di esecuzione remota tramite una pagina HTML predisposta.
Gli utenti di Chrome devono aggiornare immediatamente le proprie installazioni.
Non è il primo zero-day sfruttato quest'anno
All'inizio di questo mese, ricercatori di sicurezza hanno divulgato informazioni su CVE-2020-15999, un altro bug zero-day in Chrome che è stato attivamente sfruttato. Questo zero-day è un tipo di vulnerabilità di danneggiamento della memoria, noto come overflow del buffer di heap in FreeType, una libreria di sviluppo open source per il rendering dei caratteri inclusi nelle distribuzioni Chrome standard.
Il difetto è stato scoperto dal ricercatore sulla sicurezza di Google Project Zero Sergei Glazunov lo scorso ottobre 19. Inoltre, CVE-2020-15999 è il terzo zero-day sfruttato negli attacchi nell'ultimo anno. CVE-2019-13720 è stato avvistato a ottobre 2019, e CVE-2020-6418 - a febbraio 2020. CVE-2019-13720 era un problema gratuito da usare dopo, relativi alla corruzione della memoria, mentre CVE-2020-6418 era una vulnerabilità di confusione di tipo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: