Google исправила уязвимость нулевого дня в Chrome

Google исправила уязвимость нулевого дня в Chrome

Уязвимость повреждения памяти в FreeType активно эксплуатируется хакерами в атаках на пользователей Chrome.  

image

Во вторник, 20 октября, компания Google выпустила новую версию своего браузера Chrome 86.0.4240.111, в которой была исправлена активно эксплуатируемая киберпреступниками уязвимость нулевого дня. Уязвимость повреждения памяти ( CVE-2020-15999 ) присутствует в библиотеке рендеринга шрифтов FreeType, включенную в стандартные дистрибутивы Chrome.

Атаки с эксплуатацией данной уязвимости были обнаружены одним из исследователей команды Google Project Zero. По словам ее руководителя Бена Хоукса (Ben Hawkes), киберпреступники используют баг в библиотеке FreeType для атак на пользователей Chrome. Однако он рекомендует производителям других приложений, где используется FreeType, также выпустить исправления на случай, если хакеры решат переключиться на них.

Патч для уязвимости реализован в версии FreeType 2.10.4, вышедшей 20 октября.

Google пока не раскрывает подробности об уязвимости, чтобы не давать подсказок киберпреступникам. Как правило, компания не публикует подробности об уязвимостях в своих продуктах в течение месяцев, давая пользователям достаточно времени на их исправление.

Тем не менее, поскольку патч для уязвимости виден в исходном коде FreeType (библиотека является проектом с открытым исходным кодом), злоумышленники могут осуществить реверс-инжиниринг и в течение нескольких недель или даже дней разработать эксплоит.

За последние двенадцать месяцев это уже третья уязвимость нулевого дня в Chrome, активно эксплуатирующаяся хакерами. Первая ( CVE-2019-13720 ) была исправлена в октябре 2019 года, а вторая ( CVE-2020-6418 ) – в феврале 2020 года.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.