Google закрыла активно используемую хакерами уязвимость в Chrome

Google опубликовала обновления для своего браузера Chrome, которое устраняет доселе не закрытую уязвимость в библиотеке рендеринга шрифтов, FreeType.

Сергей Глазунов, эксперт по кибербезопасности из команды Google Project Zero, уведомил компанию об этом баге в прошлый понедельник. Данная ошибка получила обозначение CVE-2020-15999 и высокий рейтинг опасности. Её относят к ошибкам, повреждающим память переполнением буфера кучи (heap buffer overflow).

К четвергу было готово обновление Chrome: стабильная версия 86.0.4240.111 для Windows, Mac & Linux содержала исправления пяти ошибок, в том числе и упоминавшейся выше. В числе остальных, три (CVE-2020-16000/16001/16002) имеют высокий и одна (CVE-2020-16003) — средний уровень риска.

В блоге, анонсирующем это обновление, один из участников команды разработчиков Google Chrome, Прудхвикумар Боммана (Prudhvikumar Bommana), не вдаваясь в подробности сообщил, что Google располагает сведениями о фактах использования CVE-2020-15999 в преступных целях.

Технический лидер коллектива Project Zero, Бен Хоукс (Ben Hawkes), допускает, что уязвимыми могут оказаться другие реализации FreeType. Он отсылает пользователей к исходникам патча, которые Глазунов выложил на странице проекта FreeType, и призывает их подготовить исправления для других потенциально уязвимых программ.

«Исправление также есть в сегодняшней стабильной версии FreeType 2.10.4», — заявил Хоукс в Твиттере.

С это последней, за прошедшие 12 месяцев Google всего устранила три незакрытых (zero-day) уязвимости в браузере Chrome, включая критический баг удалённого выполнения кода, CVE-2019-13720, закрытый в Хэллоуин, и ошибку путаницы с памятью, CVE-2020-6418, которая была исправлена в феврале.