Koncern Google naprawił dwie poważne podatności typu zero-day występujące w przeglądarce Chrome. Według ekspertów firmy luki bezpieczeństwa były aktywnie wykorzystywane przez cyberprzestępców zarówno w wersji Chrome'a na komputery, jak i na system Android.

Podatność CVE-2020-16009 pozwalała na zdalne wykonanie kodu w silniku JavaScript V8 działającym w dostarczanej przez Google'a przeglądarce Chrome. Druga luka, którą określono nazwą kodową CVE-2020-16010, pozwalała atakującym na przepełnienie bufora i uzyskanie przywilejów dostępowych w systemie operacyjnym dla urządzeń mobilnych Android - również opracowanym przez koncern z Mountain View.

Według dyrektora programu badawczego Google'a ProjectZero, Bena Hawkesa, cyberprzestępcy wykorzystujący drugą z wykrytych luk najprawdopodobniej korzystali również z innych podatności popularnego oprogramowania.

Hawkes, jak pisze serwis Ars Technica, nie podał szczegółów dotyczących działania obu podatności, które usunęła firma. Nie wiadomo obecnie, jakie wersje przeglądarki Chrome były celem działań cyberprzestępców ani kto padł ich ofiarą. Nie ma również informacji dotyczących tego, jak długo ataki były aktywnie prowadzone i czy stała za nimi jedna grupa cyberprzestępcza, czy też kilka gangów.

Podatność CVE-2020-16009 została wykryta w części przez członka działu analizy zagrożeń Google'a, którego praca koncentruje się na działalności grup hakerskich pracujących na zlecenie rządów różnych państw. Według specjalisty scenariusz ataku na przeglądarkę może być cyberprzestępcom zlecony w ramach tego rodzaju współpracy.

Jak przypomina Ars Technica, dwa tygodnie wcześniej Google naprawiło inną groźną podatność bezpieczeństwa znaną jako CVE-2020-15999. Występowała ona w silniku obsługi fontów Freetype wykorzystywanym nie tylko w przeglądarce Chrome, ale również w innych popularnych programach. Luka pozwalała na zdalne wykonanie kodu przez cyberprzestępców i była wykorzystywana w połączeniu z podatnościami systemów Windows 10 i Windows 7. (PAP)