Szerző: Hlács Ferenc

2020. november 4. 09:52

Két, aktívan kihasznált Chrome sebezhetőséget javított a Google

A zero-day bugok a böngésző asztali és mobilos verzióit is érintették.

Két, súlyos zero-day sebezhetőséget javított Chrome-ban a Google, amelyeket támadók aktívan ki is használtak - a sérülékenységek a böngésző asztali és mobilos verzióit egyaránt érintették.

Túl sok technikai részletet a biztonsági hibák érzékenysége miatt a vállalat nem árult el azokról, annyi ugyanakkor tudható, hogy az első, CVE-2020-16009 kód alatt követett sebezhetőség távoli kódfuttatást tett lehetővé a Chrome nyílt forrású, V8 JavaScript motorjában, míg a második, CVE-2020-16010 kódszámmal ellátott bug egy az androidos Chrome-ban gyökerező, puffertúlcsordulásos sebezhetőség, amely a böngésző sandboxából engedett kilépést, így társához hasonlóan, kódfuttatást is lehetővé téve a megcélzott rendszeren. Ahogy az Ars Technica is kitér rá, utóbbit vélhetően egy másik, különálló biztonsági réssel együtt használták ki a támadók. A hibákat a Google Threat Analysis Group (TAG) illetve a cég Project Zero biztonsági csapata fedezte fel.

chromesec

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

A Chrome háza táján az elmúlt hetekben egymást érik a biztonsági problémák, a cég szakértői a fenti két sérülékenységet megelőzően, két hete is elcsíptek, illetve javítottak egy ugyancsak aktívan kihasznált zero-day sebezhetőséget. A CVE-2020-15999 a Chrome FreeType betűtípus-renderelő könyvtárat érintette - ennek kapcsán a Google más, a libraryt használó cégeket is a hiba gyors javítására sürgette. Utóbbin túl a böngészőből a vállalat az elmúlt egy évben három aktívan kihasznált zero-day bugot gyomlált ki, kettőt tavaly októberben, egyet pedig idén februárban.

A keresőóriás már valamennyi újonnan felfedezett sebezhetőségre kiadta a szükséges biztonsági javításokat - miután jelenleg is támadás alatt álló biztonsági résekről van szó, érdemes mindenkinek meggyőződni róla, hogy asztali környezetben, illetve Androidon is a böngésző legfrissebb verzióját futtatja.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról