Инженеры Google выпустили обновленную версию Google Chrome (86.0.4240.111) и предупреждают, что исправили в браузере уязвимость нулевого дня, находящуюся под активными атаками.
Ошибка была обнаружена внутри компании, специалистами Google Project Zero. Она имеет идентификатор CVE-2020-15999 и связанна с работой библиотеки рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Известно, что баг связан с нарушением целостности информации в памяти.
Руководитель команды Project Zero Бен Хоукс (Ben Hawkes) пишет, что злоумышленники уже используют этот баг для атак на пользователей Chrome, и призывает других поставщиков, использующих эту библиотеку, срочно обновить свое ПО на тот случай, если злоумышленники решат перенести атаки на другие приложения. Дело в том, что патч для этой уязвимости также был включен в свежую версию FreeType (2.10.4), выпущенную на этой неделе.
Пока более детальная информация об эксплуатации CVE-2020-15999 не разглашается. Стоит сказать, что это обычная практика для Google: специалисты компании могут месяцами «молчать» о технических деталях уязвимостей, чтобы не давать злоумышленникам подсказок и позволить пользователям спокойно установить обновления. Однако на этот раз исправления можно отследить в исходном коде опенсорсного проекта FreeType. Поэтому эксперты предупреждают, что, скорее всего, злоумышленники смогут быстро реконструировать баг и создадут собственные эксплоиты для него уже в течение нескольких следующих дней.
