谷歌 修复了两个被积极利用的Chrome零日漏洞(CVE-2020-16009,CVE-2020-16010)

谷歌 在两周内第三次修补了Chrome零时差漏洞,这些漏洞在野外被积极利用:浏览器的桌面版CVE-2020-16009存在于移动设备(Android)中,CVE-2020-16010 )版本。

 CVE-2020-16009   CVE-2020-16010

关于漏洞(CVE-2020-16009,CVE-2020-16010)

像往常一样,Google避免共享有关每个已修补漏洞的详细信息,因此我们所知道的是:

  • CVE-2020-16009 是Chrome的开源JavaScript引擎V8中的一个不适当的实现缺陷,攻击者使用它通过精心制作的HTML页面来实现远程代码执行
  • CVE-2020-16010 是Android上的UI中基于堆的缓冲区溢出漏洞,用于逃脱Chrome’通过精心制作的HTML页面创建沙箱(即,升级易受攻击的系统上的特权)

前者是由Google的Clement Lecigne发现并报告的’的威胁分析小组(TAG)和Google Project Zero的SamuelGroß,后者分别由Google Project Zero的Maddie Stone,Mark Brand和Sergei Glazunov组成。

谷歌表示,两者的利用都是在野外存在的。谷歌’s TAG是一个专注于检测和阻止政府支持的攻击的团队,因此’可能至少有CVE-2020-16009被政府支持的黑客利用。

该公司没有透露这些Chrome的零天时间和两周前确定的零天(CVE-2020-15999)–结合使用 CVE-2020-17087 ,Windows内核零日–被相同的攻击者利用。

更新您的Chrome安装

适用于Windows,macOS和Linux的Chrome版本86.0.4240.183是最新的稳定版本,其中包含针对CVE-2020-16009和 九个其他漏洞 。用户谁’如果已启用自动更新,则应手动检查更新。

适用于Android的Chrome v86.0.4240.185包含上述所有修复程序以及CVE-2020-16010的修复程序。该应用程序的更新可在Google Play上找到。

分享这个