Google heeft opnieuw twee zerodays in Chrome gerepareerd. De twee kwetsbaarheden zaten in de JavaScript-engine V8 en in de Site Isolation-functie en werden volgens het bedrijf actief uitgebuit. Het is de derde keer in korte tijd dat er zerodays in Chrome worden gedicht.
Het gaat om twee kwetsbaarheden die de classificatie 'Hoog' hebben gekregen, blijkt uit de changelog van Chrome 86.0.4240.198 voor Windows, macOS en Linux. Het gaat om CVE-2020-16013 en CVE-2020-16017. Er zijn op dit moment geen uitgebreide details bekend over de kwetsbaarheden. Wel zegt Google dat de eerste een foutieve implementatie is van V8, de JavaScript-engine in Chrome. De andere is een use-after-free-kwetsbaarheid in de Site Isolation-functionaliteit. Google zegt dat beide kwetsbaarheden actief werden uitgebuit, maar geeft daar geen details over. Het is dus niet bekend of de kwetsbaarheden alleen met elkaar werden misbruikt of ook afzonderlijk.
De twee lekken werden ontdekt door externe beveiligingsonderzoekers, die er een niet gespecificeerde beloning voor hebben gekregen. Een lek werd afgelopen maandag aangedragen, het andere op woensdag.
Google heeft in de afgelopen tijd vaker zerodays gepatcht in de browser. Begin november dichtte het ook al twee kwetsbaarheden in V8. In oktober bleek er een actief aangevallen kwetsbaarheid in de fontlibrary van de browser te zitten.