:

Szerző: Hlács Ferenc

2020. november 4. 09:52

Két, aktívan kihasznált Chrome sebezhetőséget javított a Google

A zero-day bugok a böngésző asztali és mobilos verzióit is érintették.

Két, súlyos zero-day sebezhetőséget javított Chrome-ban a Google, amelyeket támadók aktívan ki is használtak - a sérülékenységek a böngésző asztali és mobilos verzióit egyaránt érintették.

Túl sok technikai részletet a biztonsági hibák érzékenysége miatt a vállalat nem árult el azokról, annyi ugyanakkor tudható, hogy az első, CVE-2020-16009 kód alatt követett sebezhetőség távoli kódfuttatást tett lehetővé a Chrome nyílt forrású, V8 JavaScript motorjában, míg a második, CVE-2020-16010 kódszámmal ellátott bug egy az androidos Chrome-ban gyökerező, puffertúlcsordulásos sebezhetőség, amely a böngésző sandboxából engedett kilépést, így társához hasonlóan, kódfuttatást is lehetővé téve a megcélzott rendszeren. Ahogy az Ars Technica is kitér rá, utóbbit vélhetően egy másik, különálló biztonsági réssel együtt használták ki a támadók. A hibákat a Google Threat Analysis Group (TAG) illetve a cég Project Zero biztonsági csapata fedezte fel.

chromesec

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Chrome háza táján az elmúlt hetekben egymást érik a biztonsági problémák, a cég szakértői a fenti két sérülékenységet megelőzően, két hete is elcsíptek, illetve javítottak egy ugyancsak aktívan kihasznált zero-day sebezhetőséget. A CVE-2020-15999 a Chrome FreeType betűtípus-renderelő könyvtárat érintette - ennek kapcsán a Google más, a libraryt használó cégeket is a hiba gyors javítására sürgette. Utóbbin túl a böngészőből a vállalat az elmúlt egy évben három aktívan kihasznált zero-day bugot gyomlált ki, kettőt tavaly októberben, egyet pedig idén februárban.

A keresőóriás már valamennyi újonnan felfedezett sebezhetőségre kiadta a szükséges biztonsági javításokat - miután jelenleg is támadás alatt álló biztonsági résekről van szó, érdemes mindenkinek meggyőződni róla, hogy asztali környezetben, illetve Androidon is a böngésző legfrissebb verzióját futtatja.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról