Google ha lanzado Chrome versión 86. 0. 4240. 111 por adelantado hoy para las correcciones de protección de instalación, que incluye un parche para una vulnerabilidad de día 0 activamente explotada. El día cero se rastrea como cve-2020-15999 y se define como un programa malicioso de corrupción de reminiscencias en la biblioteca de representación de fuentes freetype que está cubierta con distribuciones de Chrome de moda. Los ataques en la naturaleza que aprovechan este error de tipo libre se han descubierto mediante el uso de investigadores de protección de la empresa 0, uno de los equipos de protección internos de Google. En sintonía con el líder del equipo de mission zero, ben hawkes, un actor casual se convirtió en descubierto abusando de este troyano de tipo libre para montar ataques contra los clientes de Chrome. Hawkes ahora suplicó a diferentes compañías de aplicaciones que usan la misma biblioteca de tipo libre para actualizar su software también, en caso de que el actor casual tome la decisión de cambiar los ataques hacia diferentes aplicaciones. Se ha protegido un parche para este error en freetype 2. 10. 4, lanzado por adelantado hoy. Los clientes de Chrome pueden actualizar a v86. 0. 4240. 111 a través de la función de actualización integrada del navegador (consulte el menú de Chrome, la alternativa de asistencia y aproximadamente la fase de Google Chrome). Los detalles más finos sobre los intentos de explotación activa de cve-2020-15999 ahora no se han hecho públicos. Google generalmente se mantiene en los detalles técnicos durante meses para ofrecer a los clientes el tiempo suficiente para actualizar y evitar que incluso las pistas más pequeñas caigan en manos de los atacantes. Pero, dado que el parche para este día cero es visible dentro del código de suministro de freetype, una asignación de suministro abierto, se espera que los actores de riesgo sean capaces de diseñar de manera opuesta el día 0 y proporcionarle sus hazañas personales en unos días o quizás semanas. Cve-2020-15999 es el día cero de cromo 1/3 explotado en estado salvaje en los últimos 12 meses. Los dos principales habían sido cve-2019-13720 (octubre de 2019) y cve-2020-6418 (febrero de 2020).
