Google исправила еще две уязвимости нулевого дня в Chrome

Компания Google исправила еще две активно эксплуатирующиеся хакерами уязвимости в Chrome, ставшие четвертой и пятой уязвимостями нулевого дня в браузере за последние несколько недель. Проблемы были исправлены в версии Chrome 86.0.4240.198 для Windows, Mac и Linux, которую пользователи получат в ближайшие несколько дней/недель.

В отличие от трех предыдущих уязвимостей нулевого дня, уязвимости CVE-2020-16013 и CVE-2020-16017 были обнаружены не специалистами Google Project Zero, а анонимными исследователями. Google известно о существовании эксплоитов для них, но больше информации она не предоставляет до тех пор, пока все пользователи не получат исправленную версию браузера.

CVE-2020-16013: некорректная реализация движка V8 для рендеринга JavaScript; Google была уведомлена о проблеме 9 ноября 2020 года.

CVE-2020-16017: уязвимость повреждения памяти после высвобождения в функции изоляции сайтов; Google была уведомлена о ней 7 ноября 2020 года.

Примечательно, что исправленная на прошлой неделе уязвимость нулевого дня в Chrome ( CVE-2020-16009 ) также существует из-за некорректной реализации движка V8 и позволяет удаленно выполнить код. Связаны ли обе проблемы между собой, на данный момент неясно.

За последнее время Google сообщила о целом ряде активно эксплуатирующихся хакерами уязвимостей не только в Chrome, но также в Windows, iOS и macOS. Хотя некоторые из них были объединены в одну цепочку эксплоитов, компания пока не раскрывает ни использующие их киберпреступные группировки, ни жертв. Во избежание возможных кибератак пользователям рекомендуется установить обновления.