>> サイバーニュース > CVE-2020-15999: 野生で悪用されたChromeのFreeTypeゼロデイバグ
サイバーニュース

CVE-2020-15999: 野生で悪用されたChromeのFreeTypeゼロデイバグ

最新バージョンのGoogleChromeを実行していますか (現在 86.0.4240.111)? Chromeブラウザは悪用される可能性があるため、更新されているかどうかを確認することをお勧めします. そのための最良の方法は、Chromeのメニューに移動することです, ヘルプの選択とGoogleChromeについて.

なぜあなたは心配する必要があります? サイバーセキュリティの研究者は、一連の重大度の高い脆弱性を発見しました, CVE-2020-15999を含む, 標的型攻撃で実際に悪用されるゼロデイバグ.




CVE-2020-15999GoogleChromeのゼロデイバグ

積極的に悪用されるゼロデイは、一種のメモリ破損の脆弱性です, FreeTypeではヒープバッファオーバーフローとして知られています, 標準のChromeディストリビューションに含まれるフォントをレンダリングするためのオープンソース開発ライブラリ. この欠陥は、GoogleProjectZeroのセキュリティ研究者であるSergeiGlazunovによって10月に発見されました。 19.

ベンホークス, プロジェクトゼロのチームリーダー, ハッカーはChromeユーザーに対する攻撃でFreeTypeの脆弱性を悪用していると言います. 研究者は、FreeTypeを使用している他のアプリベンダーに、将来のエクスプロイトを回避するためにソフトウェアを更新するように促します. FreeTypeライブラリはバージョンでパッチが適用されています 2.10.4.

FreeTypeChromeの脆弱性の悪用について他に知られていること? Googleは通常、ユーザーが更新するのに十分な時間を確保できるように技術情報を公開することを躊躇しているため、詳細はほとんどありません。. でも, 問題が存在します–バグのパッチはFreeTypeのソースコードに表示されます。つまり、脅威の攻撃者はそれをリバースエンジニアリングして、新しいエクスプロイトを作成できる可能性があります。.

CVE-2020-15999が、過去1年間に攻撃で悪用された3番目のゼロデイ攻撃であることは注目に値します。. CVE-2019-13720は10月に発見されました 2019, およびCVE-2020-6418–2月 2020. CVE-2019-13720 解放後使用の問題でした, メモリの破損に関連する, 一方、CVE-2020-6418はタイプの混乱の脆弱性でした.

CVE-2020-15999以外, Googleは他の4つの脆弱性にも対処しました, そのうちの3つは高リスクと評価されました:

  • CVE-2020-16000: Blinkでの不適切な実装;
  • CVE-2020-16001: メディアで無料で使用;
  • CVE-2020-16002: PDFiumで無料で使用;
  • CVE-2020-16003: 印刷で無料で使用 (中程度と評価).

することを強くお勧めします Chromeブラウザを更新します バージョンへ 86.0.4240.111 保護されたままにする.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します