Το Project Zero της Google έχει επιδιορθώσει δύο ευπάθειες στο Chrome που αξιοποιούνται ενεργά από κυβερνοεγκληματίες, χωρίς ωστόσο να προσδιορίζεται από ποιον και για ποιο σκοπό.
Η Google ανακοίνωσε ότι έχει διορθώσει δύο ευπάθειες τύπου zero-day στο πρόγραμμα περιήγησης Chrome. Μάλιστα είναι η τρίτη φορά, εντός δύο εβδομάδων, που τεχνολογικός Κολοσσός με έδρα το Mountain View επιδιορθώνει ένα πρόβλημα ασφάλειας του Chrome τόσο σοβαρό που ενδεχομένως οι επιτιθέμενοι να το εκμεταλλεύτηκαν για δόλιο σκοπό. Ο Ben Hawkes, επικεφαλής του ερευνητικού τμήματος σχετικά με τις ευπάθειες και τις εκμεταλλεύσεις του Project Zero (η ομάδα της Google που ασχολείται με την έρευνα στον τομέα της ασφάλειας στον κυβερνοχώρο), έχει διαδώσει τις πληροφορίες μέσω του Twitter τις τελευταίες ημέρες.
Το CVE-2020-16009, είναι το αναγνωριστικό όνομα της πρώτης από τις δύο ευπάθειες, και πρακτικά θεωρείται είναι ένα σφάλμα που επιτρέπει την εκτέλεση απομακρυσμένου κακόβουλου κώδικα στο V8 (Chrome V8 JavaScript engine), η μηχανή ανοιχτού κώδικα JavaScript που χρησιμοποιείται από το Chrome. Το δεύτερο ελάττωμα, που προσδιορίζεται με τον κωδικό όμονα CVE-2020-1610, είναι ένα «heap buffer overflow» στο Chrome που τρέχει το λειτουργικό σύστημα Android. Ο Hawkes εξήγησε ότι αυτό το δεύτερο ελάττωμα επιτρέπει σε έναν εισβολέα να βγει από το περιβάλλον Android sandbox, υποδηλώνοντας ότι αυτή η ευπάθεια μπορεί να έχει χρησιμοποιηθεί σε συνδυασμό με άλλα ελαττώματα, ώστε να ξεκινήσει μία επίθεση εκτελώντας τον κακόβουλο κώδικα αλλά με ποιο καταστροφικά αποτελέσματα.
Today Chrome fixed two more vulnerabilities that were being actively exploited in the wild (discovered by Project Zero/Google TAG last week). CVE-2020-16009 is a v8 bug used for remote code execution, CVE-2020-16010 is a Chrome sandbox escape for Android. https://t.co/IOhFwT0Wx1
— Ben Hawkes (@benhawkes) November 2, 2020
Ωστόσο, ο Hawkes δεν αποκάλυψε περισσότερες λεπτομέρειες και για αυτόν τον λόγο δεν είναι γνωστό σε ποιες εκδόσεις του Chrome στοχεύονταν, ποιοι θα μπορούσαν να είναι τα θύματα και πόσο καιρό ήταν σε εξέλιξη οι επιθέσεις. Δεν είναι επίσης σαφές εάν πίσω από την εκμετάλλευση και των τριών ευπαθειών είναι η ίδια ομάδα χάκερς (τα δύο διορθώθηκαν αυτές τις μέρες και το ένα που διορθώθηκε πριν από δύο εβδομάδες, το CVE-2020-15999 σχετίζεται με το Freetype, το οποίο χρησιμοποιεί το Chrome για την απόδοση γραμματοσειρών).
Δεδομένου ότι οι εκδόσεις του Chrome για υπολογιστές έχουν ρυθμιστεί με ενεργοποιημένη την αυτόματη ενημέρωση από προεπιλογή, οι περισσότεροι χρήστες θα έχουν ήδη εφαρμόσει αυτόματα τις διορθωτικές ενημερώσεις που εξαλείφουν τα συγκεκριμένα προβλήματα. Όσο για το Chrome που τρέχει στο Android, αυτό ενημερώνεται μέσω του Google Play, δηλαδή η διορθωτική ενημέρωση κώδικα είναι ενσωματωμένη στην έκδοση 86.0.4240.185, αλλά θα πρέπει να την εγκαταστήσετε χειροκίνητα, κατεβάζοντας και εγκαθιστώντας απλά την τελευταία έκδοση του Chrome για Android στο smartphone ή το tablet σας.
. Το Project Zero της Google έχει επιδιορθώσει){kind=link}