Специалисты Google продолжают исправлять критические уязвимости в своем браузере. На этот раз, с релизом Chrome 86.0.4240.198, патчи получили две новые проблемы нулевого дня. Напомню, что это четвертый и пятый 0-day, обнаруженный в Chorme за последние три недели.
Интересно, что если другие недавние проблемы в Chrome были найдены внутри компании, самими инженерами Google, то на этот раз уязвимости обнаружили благодаря сообщениям, полученным из анонимного источника. Баги имеют следующие идентификаторы:
- CVE-2020-16013— уязвимость описывается как «некорректная имплементация в V8»;
- CVE-2020-16017— ошибка нарушения целостности информации в памяти типа use after free, обнаруженная в составе компонента Site Isolation.
В настоящее время неясно, использовались ли эти уязвимости вместе, как часть единой цепочки эксплоитов, или же их применяли по отдельности. Пока специалисты компании не раскрывают практически никакой информации об этих проблемах, так как не хотят давать злоумышленникам подсказок, и дают пользователям время спокойно установить обновления.
Напомню, что за последние недели разработчики Google устранили еще три 0-day уязвимости в своем браузере:
- CVE-2020-15999 — проблема, связанная с работой библиотеки рендеринга шрифтов FreeType, которая входит в состав стандартных дистрибутивов Chrome. Этот баг был сопряжен с нарушением целостности информации в памяти и использовался вместе с 0-day уязвимостью в Windows (CVE-2020-17087), которую Microsoft исправила на этой неделе;
- CVE-2020-16009— проблема, связанная с работой JavaScript-движка V8 допускала удаленное выполнение произвольного когда (RCE);
- CVE-2020-16010— третий 0-day, обнаруженный в Chrome для Android. Проблема связана с переполнения буфера хипа в компоненте пользовательского интерфейса (UI).
