Google lëshon azhurnimin e sigurisë së Chrome për të rregulluar në mënyrë aktive ditën zero

Google ka lëshuar versionin Chrome 86.0.4240.111 më herët sot për të vendosur rregullime të sigurisë, duke përfshirë një copë toke për një dobësi të shfrytëzuar në mënyrë aktive të ditës zero.

Dita zero gjurmohet si CVE-2020-15999 dhe përshkruhet si një defekt në dëmtimin e kujtesës në bibliotekën e dhënies së shkronjave FreeType që përfshihet me shpërndarjet standarde të Chrome.

Sulmet e egra duke përdorur këtë problem në FreeType u zbuluan nga studiuesit e sigurisë nga Project Zero, një nga ekipet e brendshme të sigurisë së Google.

Sipas drejtuesit të ekipit të Project Zero Ben Hawkes, një aktor kërcënimi u pa që abuzonte me këtë bug FreeType për të sulmuar përdoruesit e Chrome.

Hawkes tani u bëri thirrje shitësve të tjerë të aplikacioneve që përdorin të njëjtën bibliotekë FreeType të azhurnojnë gjithashtu softuerin e tyre, në rast se aktori i kërcënimit vendos të zhvendosë sulmet kundër aplikacioneve të tjera.

Një copë toke për këtë problem është përfshirë në FreeType 2.10.4, lëshuar më herët sot.

Përdoruesit e Chrome mund të azhurnohen në v86.0.4240.111 përmes funksionit të integruar të shfletuesit (shih menunë e Chrome, opsionin e ndihmës dhe seksionin Rreth Google Chrome).

Detajet më të hollësishme rreth përpjekjeve aktive të shfrytëzimit CVE-2020-15999 nuk janë bërë publike. Google zakonisht ulet në detaje teknike për muaj me radhë për t’u dhënë përdoruesve kohë të mjaftueshme për të azhurnuar dhe për të mbajtur edhe të dhëna më të vogla nga rënia në duart e sulmuesve.

Sidoqoftë, meqenëse patch-i për këtë ditë zero është i dukshëm në kodin burimor të FreeType, një projekt me burim të hapur, pritet që aktorët e kërcënimit të jenë në gjendje të inxhinierizojnë ditën zero dhe të dalin me shfrytëzimet e tyre brenda ditëve ose javë.

CVE-2020-15999 është dita e tretë krom zero e shfrytëzuar në natyrë në dymbëdhjetë muajt e fundit. Dy të parat ishin CVE-2019-13720 (tetor 2019) dhe CVE-2020-6418 (shkurt 2020).