Af Eskil Sørensen, 12/11/20
Google har i dag frigivet Chrome-version 86.0.4240.198 for at rette to sårbarheder, der har været udsat for udnyttelse og af den grund betegnes 0-dagssårbarheder. Det skriver ZDNet.
De to fejl er hhv. den fjerde og femte 0-dagssårbarhed, som Google har patched i Chrome i løbet af de sidste tre uger. De to seneste er blevet opdaget efter tip fra anonyme kilder, mens de første tre blev opdaget internt af Googles sikkerhedsfolk.
Detaljer om angrebene er ikke offentliggjort i skrivende stund.
De to 0-dage beskrives ifølge jf. Chrome 86.0.4240.198’s ændringslog som følger:
- CVE-2020-16013 – er en "upassende implementering i V8", hvor V8 er Chrome-komponenten, der håndterer JavaScript-kode.
- CVE-2020-16017 - Beskrevet en såkaldt "use-after-free memory corruption bug" i Site Isolation. Det er den Chrome-komponent, der isolerer hvert websteds data fra hinanden.
Det vides pt ikke, om de to sårbarheder er blevet brugt sammen, som en del af en udnyttelseskæde eller brugt individuelt. Den første blev rapporteret mandag, mens den anden blev rapporteret onsdag.
Links:
https://www.zdnet.com/article/google-patches-two-more-chrome-zero-days/