谷歌发布了Chrome for Android浏览器的安全更新,以修复目前在野外被利用的零日漏洞。
Chrome for Android版本86.0.4240.185曾昨晚发布,对CVE-2020-16010进行了修复,Chrome for Android用户界面(UI)组件中存在堆缓冲区溢出漏洞。
谷歌表示,利用该漏洞,攻击者可以绕过并逃离Android设备上的Chrome安全沙盒,并在底层操作系统上运行代码。
有关攻击的详细信息并不公开,以使Chrome用户有更多时间安装更新并阻止其他威胁参与者在同一个零日内开发漏洞。
谷歌将其内部威胁分析小组(TAG)的团队归功于其发现了Android零日攻击的Chrome。
这标志着过去两周内TAG团队发现的第三个Chrome zero day。
前两个零日仅受影响Chrome桌面版。
第一个补丁于10月20日发布,被追踪为CVE-2020-15999,并受到影响Chrome的FreeType字体渲染库
在上周的一份后续报告中,谷歌表示,ChromeZero的第一天是与Windows zero day(CVE-2020-17087)一起作为两步攻击链的一部分,Chrome zero day允许攻击者在Chrome中执行恶意代码,而Windows zero day被用来提升代码的权限并攻击底层Windows操作系统。
在此基础上,谷歌也昨天修补了第二个零日。据追踪,这个零日是在Chrome V8 JavaScript引擎中执行的远程代码。
在Chrome团队发布第二个零日补丁的几个小时后,Google披露了第三个零日,只影响了Chrome for Android版本。
而这三个零日都与Chrome for Android版本不同谷歌并没有澄清所有的zero days是被同一个威胁参与者或多个组织利用的,它们相互影响不同的Chrome版本和组件。这些细节通常在补丁发布数月后,通过发布在Google的Project zero和Google安全博客上的报告披露出来。与此同时,无论是安卓系统还是台式机的Chrome用户,应该赶紧安装最新的更新(Android上的v86.0.4240.185和桌面上的v86.0.4240.183)。
