11 ноября 2020 года вышла новая версия Google Chrome 86.0.4240.198 с исправлениями двух уязвимостей нулевого дня, которые эксплуатировались в реальных условиях.
Эти уязвимости стали четвертой и пятой по счету в числе исправленных Google уязвимостей Chrome за последние три недели.
На этот раз разница заключается в том, что первые три уязвимости были обнаружены внутренними исследователями безопасности Google, а информация о текущих уязвимостях появилась от анонимных источников.
Подробности атак пока не разглашаются.
В заметках к выпуску Chrome 86.0.4240.198 приведена следующая информация:
- CVE-2020-16013 – описывается как «несоответствующая реализация в V8», где V8 – JavaScript движок Chrome.
- CVE-2020-16017 – описывается как ошибка повреждения памяти при использовании данных после освобождения памяти в «Site Isolation», компоненте Chrome, который изолирует данные каждого сайта друг от друга.
Неизвестно, использовались ли эти две уязвимости вместе, как часть цепочки эксплойтов или по отдельности. Публичная информация о первой уязвимости появилась в понедельник, о второй — в среду.
Ранее Google исправил три другие уязвимости в Chrome:
- CVE-2020-15999 – уязвимость нулевого дня в библиотеке рендеринга шрифтов FreeType Chrome. Исправлена 20 октября. Уязвимость использовалась совместно с уязвимостью нулевого дня в Windows CVE-2020-17087, которую была исправлена во «Вторник Патчей».
- CVE-2020-16009 – уязвимость нулевого дня в движке JavaScript V8 Chrome. Исправлена 2 ноября.
- CVE-2020-16010 – уязвимость нулевого дня в Chrome для Android, влияющая на компонент пользовательского интерфейса (UI) браузера.
Большинство уязвимостей нулевого дня обычно используются в целевых атаках против небольшого числа выбранных целей, поэтому большинству пользователей не следует напрасно паниковать.
Хотя уровень опасности для обычных пользователей неясен, пользователям Chrome все же рекомендуется как можно скорее обновиться до версии 86.0.4240.198 с помощью встроенной функции обновления браузера (Меню >Справка > О браузере Google Chrome).
Обновления программ, что нового
• Firefox 139 Beta: повышена производительность загрузки по HTTP/3, улучшены перевод страниц и поддержка PNG
• Обновление NVIDIA GeForce Game Ready 576.28 WHQL. Исправления для RTX 50 и улучшения стабильности работы игр
• Новые функции «Алисы» и «Яндекс Станций» за апрель 2025 года
• Релиз Chrome 136: Обновления безопасности и исправление уязвимости, которая существовала более 20 лет
• Обновление до Windows 11, версия 24H2 блокируется на старых версиях Windows 11 из-за бага в службе WSUS
• Обновление Intel Bluetooth Drivers 23.130.0 для Windows 11 и Windows 10: функциональные улучшения