Google ha parcheado dos vulnerabilidades de día cero en su navegador Chrome, la tercera vez en dos semanas que la compañía corrigió una falla de seguridad de Chrome que está bajo explotación activa.
De acuerdo a unaTweet del lunesde Ben Hawkes, jefe del brazo de investigación de vulnerabilidades y exploits Project Zero de Google, CVE-2020-16009, ya que se rastrea la primera vulnerabilidad, es un error de ejecución remota de código en V8, el motor de código abierto de JavaScript de Chrome. Un segundo defecto de seguridad, CVE-2020-16010, es undesbordamiento de búfer basado en montónen Chrome para Android. Hawkes dijo que permite a los atacantes escapar de la zona de pruebas de Android, lo que sugiere que los piratas informáticos pueden haberlo estado usando en combinación con una vulnerabilidad separada.
Hawkes no proporcionó detalles adicionales, como qué versiones de escritorio de Chrome fueron atacadas activamente, quiénes eran las víctimas o cuánto tiempo habían estado ocurriendo los ataques. Tampoco estaba claro si el mismo grupo de ataque fue responsable de los tres exploits. CVE-2020-16009 fue descubierto en parte por un miembro del Grupo de Análisis de Amenazas de Google, que se enfoca en la piratería respaldada por el gobierno, lo que sugiere que las explotaciones de esa vulnerabilidad pueden ser obra de un estado-nación. Project Zero estuvo involucrado en el descubrimiento de los tres días cero.
No hay comentarios:
Publicar un comentario