CVE-2020-16010は、Googleが最近パッチを適用したもう1つの重要なゼロデイ攻撃です. 今回, 影響を受けるのはAndroidバージョンのChromeブラウザです. 脆弱性は、以前のバージョンのAndroid上のGoogleChromeのUIでのヒープバッファオーバーフローです。 86.0.4240.185.
CVE-2020-16010とは?
CVE-2020-16010により、レンダラープロセスを侵害したリモートの攻撃者が、細工されたHTMLページを使用してサンドボックスエスケープを実行する可能性があります.
ご了承ください "Googleは認識しています CVE-2020-16010のエクスプロイトが実際に存在するという報告があります。」バグ修正に加えて, 最新のChromeforAndroidリリースには、安定性とパフォーマンスの改善も含まれています.
グーグルはまた、デスクトップ用のChromeの別のバグに対処しました – CVE-2020-16009. この欠陥は、V8の不適切な実装の欠陥として説明されています, ChromeのオープンソースJavaScriptエンジン. このバグは、細工されたHTMLページを介したリモート実行攻撃で悪用されます.
Chromeユーザーは、インストールをすぐに更新する必要があります.
今年最初のゼロデイ攻撃ではありません
今月上旬, セキュリティ研究者はに関する情報を開示しました CVE-2020-15999, 積極的に悪用されたChromeのもう1つのゼロデイバグ. このゼロデイは一種のメモリ破損の脆弱性です, FreeTypeではヒープバッファオーバーフローとして知られています, 標準のChromeディストリビューションに含まれるフォントをレンダリングするためのオープンソース開発ライブラリ.
この欠陥は、GoogleProjectZeroのセキュリティ研究者であるSergeiGlazunovによって10月に発見されました。 19. さらに何, CVE-2020-15999は、過去1年間に攻撃で悪用された3番目のゼロデイ攻撃です. CVE-2019-13720は10月に発見されました 2019, およびCVE-2020-6418–2月 2020. CVE-2019-13720は解放後使用の問題でした, メモリの破損に関連する, 一方、CVE-2020-6418はタイプの混乱の脆弱性でした.