`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Google закрыла активно используемую хакерами уязвимость в Chrome

+22
голоса

Google закрыла активно используемую хакерами уязвимость в Chrome

Google опубликовала обновления для своего браузера Chrome, которое устраняет доселе не закрытую уязвимость в библиотеке рендеринга шрифтов, FreeType.

Сергей Глазунов, эксперт по кибербезопасности из команды Google Project Zero, уведомил компанию об этом баге в прошлый понедельник. Данная ошибка получила обозначение CVE-2020-15999 и высокий рейтинг опасности. Её относят к ошибкам, повреждающим память переполнением буфера кучи (heap buffer overflow).

К четвергу было готово обновление Chrome: стабильная версия 86.0.4240.111 для Windows, Mac & Linux содержала исправления пяти ошибок, в том числе и упоминавшейся выше. В числе остальных, три (CVE-2020-16000/16001/16002) имеют высокий и одна (CVE-2020-16003) — средний уровень риска.

В блоге, анонсирующем это обновление, один из участников команды разработчиков Google Chrome, Прудхвикумар Боммана (Prudhvikumar Bommana), не вдаваясь в подробности сообщил, что Google располагает сведениями о фактах использования CVE-2020-15999 в преступных целях.

Технический лидер коллектива Project Zero, Бен Хоукс (Ben Hawkes), допускает, что уязвимыми могут оказаться другие реализации FreeType. Он отсылает пользователей к исходникам патча, которые Глазунов выложил на странице проекта FreeType, и призывает их подготовить исправления для других потенциально уязвимых программ.

«Исправление также есть в сегодняшней стабильной версии FreeType 2.10.4», — заявил Хоукс в Твиттере.

С это последней, за прошедшие 12 месяцев Google всего устранила три незакрытых (zero-day) уязвимости в браузере Chrome, включая критический баг удалённого выполнения кода, CVE-2019-13720, закрытый в Хэллоуин, и ошибку путаницы с памятью, CVE-2020-6418, которая была исправлена в феврале.

Дізнайтесь більше про мікро-ЦОД EcoStruxure висотою 6U

+22
голоса

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT