0
0
O Google lançou a versão 86.0.4240.111 do Chrome que também aborda a falha CVE-2020-15999, que é um zero-day ativamente explorado.
O Google lançou a versão 86.0.4240.111 do Chrome que inclui correções de segurança para vários problemas, incluindo um patch para uma vulnerabilidade de zero-day ativamente explorada como CVE-2020-15999.
A falha do CVE-2020-15999 é um bug de corrupção de memória que reside na biblioteca de renderização de fontes FreeType, que está incluída nas versões padrão do Chrome.
Hackers de chapéu branco da equipe do Google Project Zero detectaram ataques explorando a vulnerabilidade na natureza.
Os pesquisadores não divulgaram detalhes técnicos sobre os ataques que exploram o CVE-2020-15999 na natureza para evitar a exploração em massa de atores de ameaças.
O Google Project Zero está recomendando outras equipes de desenvolvimento de aplicativos que usam a mesma biblioteca FreeType para atualizar seu software também.
A versão 2.10.4 do FreeType resolve esse problema.
Os usuários do Chrome podem atualizar sua instalação para v86.0.4240.111 através da função de atualização incorporada do navegador.
Especialistas apontaram que, como o patch para este dia zero é visível no código-fonte da biblioteca de código aberto FreeType, os atores de ameaças poderão fazer uma engenharia reversa do código e desenvolver explorações de trabalho para o problema.
Nos últimos doze meses, o Google abordou outras duas vulnerabilidades de zero-day rastreadas como CVE-2019-13720 (outubro de 2019) e CVE-2020-6418 (fev. 2020), respectivamente.
FONTE: SECURITY AFFAIRS