Bezpečnostní chyby v aplikacích se záplatují každou chvíli. Ty, co byly v uplynulých dnech nalezeny a záplatovány v prohlížeči Google Chrome, ale patří mezi ty vážnější. Začněme chybou označenou jako CVE-2020-16010, která se prohlížeče Chrome týká pouze v OS Android, tedy na telefonech a tabletech.
Chyba útočníkům umožnila vyskočit z takzvaného sandboxu, ve kterém Chrome normálně běží, a spustit kód přímo v operačním systému, což je velmi nebezpečná možnost. Je dost pravděpodobné, že si vaše zařízení již opravenou verzi stáhlo, ale vyplatí se to zkontrolovat – měli byste mít verzi 86.0.4240.185. Aktualizaci spustíte v obchodě Google Play.
Today Chrome fixed two more vulnerabilities that were being actively exploited in the wild (discovered by Project Zero/Google TAG last week). CVE-2020-16009 is a v8 bug used for remote code execution, CVE-2020-16010 is a Chrome sandbox escape for Android. https://t.co/IOhFwT0Wx1
Další dvě chyby nalezlo analytické oddělení společnosti Google ve verzích pro počítače: jedna (CVE-2020-16009) byla hrozbou na operačních systémech Windows, macOS a Linux, druhá (CVE-2020-17087) pak výhradně ve Windows.
První umožnila dálkové spouštění škodlivých kódů ve V8, což je systém pro spouštění kódu napsaného v JavaScriptu, druhá pak „v symbióze“ s bezpečnostní chybou ve Windows umožnila útočníkům spustit škodlivý kód v prohlížeči Chrome, poté zvýšit jeho systémová práva a napadnout přímo operační systém.
Another in-the-wild Chrome 0day patched (CVE-2020-16009), reported by @_clem1 from TAG and @5aelo from Project Zero: https://t.co/SP1SR3aXEp
Soudě podle tweetu bezpečnostního specialisty Bena Hawkese byly chyby nejen nalezeny, ale dříve i aktivně zneužívány, což hodně zvyšuje důležitost rychlé opravy. Spousta chyb je totiž opravena dříve, než je útočníci dokážou zneužít.
Na webových stránkách prohlížeče již najdete aktuální opravenou verzi 86.0.4240.183, verzi, kterou máte, zjistíte v prohlížeči v sekci Nápověda, v položce „O aplikaci Google Chrome“.
