Chrome-selaimen uusi versio 86.04240.111 sisältää paikkauksen nollapäivähaavoittuvuudelle, jonka avulla on jo ehditty hyökätä Chrome-käyttäjien kimppuun.

Haavoittuvuuden tunniste on CVE-2020-15999. Kyseessä on muistia korruptoiva bugi, joka liittyy FreeType-fontin renderöintikirjastoon, ZDNet kirjoittaa.

Googlen sisäinen tietoturvatiimi Project Zero huomauttaa, että FreeType-bugia on jo hyödynnetty Chrome-käyttäjiin kohdistuvissa tietoturvayökkäyksissä. Oman selaimen päivittämistä ei ole siis syytä viivytellä. Päivittäminen onnistuu klikkaamalla kolmea pistettä selaimen oikeasta ylänurkasta ja valitsemalla avautuvasta valikoista Ohje > Tietoja Google Chromesta.

Project Zero -pomo Ben Hawkes kehottaa kaikkia muitakin kehittäjiä päivittämään sovelluksensa, mikäli käytössä on kyseinen FreeType-kirjasto. Bugi on korjattu FreeTypen versiossa 2.10.4.

Google ei ole paljastanut CVE-2020-15999:n teknisiä yksityiskohtia, jotta hakkerit eivät pääsisi hyödyntämään tietoja hyökkäyksissään. Näin käyttäjille jäisi siis aikaa tehdä tarvittavat tietoturvapäivitykset.

Tässä tapauksessa tietojen panttaamisesta on tuskin kuitenkaan juuri apua, sillä nollapäivähaavoittuvuuden paikkaus on kaikkien nähtävillä FreeTypen lähdekoodissa. Onkin todennäköistä, että hakkerit onnistuvat takaisinmallintamaan haavoittuvuuden sen paikkauksesta hyvin pian. ZDNetin mukaan kyse lienee päivistä tai enintään viikoista.