谷歌修复了另外两个被活跃利用的Chrome零日

2020-11-04 05:11:47

谷歌在其Chrome浏览器中修补了两个零日漏洞,这是该公司在两周内第三次修复正在积极利用的Chrome安全漏洞。

根据谷歌零漏洞和利用研究机构CVE2020-16009负责人本·霍克斯周一发布的一条推文,追踪到的第一个漏洞是Chrome开源JavaScript引擎V8中的一个远程代码执行漏洞。第二个安全漏洞CVE-2020-16010是Chrome for Android中基于堆的缓冲区溢出。霍克斯表示,它允许攻击者逃离Android沙盒,这表明黑客可能一直在将其与另一个漏洞结合使用。

霍克斯没有提供更多细节,比如哪些桌面版本的Chrome是活跃的目标,受害者是谁,或者攻击已经持续了多长时间。目前也不清楚是否同一攻击组织对这三次攻击都负有责任。CVE2020-16009部分是由谷歌威胁分析小组的一名成员发现的,该小组专注于政府支持的黑客攻击,这表明利用该漏洞可能是一个民族国家的工作。零日计划参与了这三个零日的发现。

两周前,谷歌修复了cve-2020-15999,这是freetype中一个被积极利用的漏洞,Chrome和其他非谷歌应用程序使用该漏洞来呈现字体。为了获得代码执行能力,黑客将攻击与针对Windows10和Windows7中当前未打补丁的漏洞的单独攻击相结合。

Chrome的桌面版本通常会自动更新。这意味着,对于大多数用户来说,已经安装了CVE-2020-16009和CVE-2020-15999的补丁。Chrome for Android通过Google Play进行更新。Chrome Android的咨询称,该修复程序已整合到86.0.4240.185版本中。通知接着说,更新将“在接下来的几周内”推出,但我检查的手机(A Pixel)已经安装了。