Google的“零项目”白帽子黑客小分队为Chrome浏览器中的漏洞修复了两个新的零日漏洞修复程序,这些漏洞已经在野外得到了积极利用-小组在两周内第三次不得不在全球范围内修复一个实时漏洞最常用的网络浏览器。零项目负责人Ben Hawkes周一在Twitter上宣布了这一消息:
如今,Chrome浏览器修复了另外两个在野外被积极利用的漏洞(上周由Project Zero / Google TAG发现)。CVE-2020-16009是用于远程代码执行的v8错误,CVE-2020-16010是适用于Android的Chrome沙箱转义。https://t.co/IOhFwT0Wx1
第一个代码名为CVE-2020-16009,是V8(Chromium中使用的自定义Javascript引擎)中的远程代码执行错误。第二个编码为CVE-2020-16010,是基于堆的缓冲区溢出,特定于Android版本的Chrome,该溢出使用户可以在沙盒环境之外,使他们可以自由利用恶意代码(可能来自其他漏洞利用程序,或者完全不同的一个。
我们有很多不知道的地方-零项目经常使用“需要知道”的基础,以免实际上变成了“如何破解”教程-但我们可以收集一些信息。例如,我们不知道是谁负责开发这些漏洞,但鉴于第一个漏洞(16009)是由威胁分析小组发现的,这很可能意味着它是国家赞助的演员。我们不知道要定位的是哪个版本的Chrome,因此建议您假设答案是“您拥有的版本”,如果没有自动安装的最新版本,请尽可能进行更新。Android修补程序是Chrome的最新版本,目前可从Google Play商店购买-您可能需要触发手动更新,以确保及时收到它。