11 ноября 2020 года Google выпустила обновление браузера Chrome — версию 86.0.4240.198 для Windows, Mac и Linux. В этой сборке специалисты компании устранили две уязвимости нулевого дня — CVE-2020-16013 и CVE-2020-16017. Информацию об этих уязвимостях передали в Google анонимные источники. За прошедшие три недели в коде браузера также были закрыты (в новых версиях браузера от 20 октября и 2 ноября) три уязвимости — CVE-2020-15999, CVE-2020-16009 и CVE-2020-16010. Они были обнаружены ранее специалистами из команды Google Project Zero и внутренней командой Google Threat Analysis Group (TAG).
Google пояснила в своем описании новой версии браузера, что уязвимость CVE-2020-16013 связана с несоответствующей реализацией в V8, JavaScript движке Chrome. Вторая уязвимость CVE-2020-16017 обозначена как ошибка повреждения памяти при использовании данных после освобождения памяти (use after free) в компоненте браузера Chrome под названием Site Isolation. Этот элемент изолирует данные разных сайтов друг от дружки.
Google не уточнила подробности обнаружения двух новых уязвимостей и фактов их вероятного применения. Компания пообещала раскрыть информацию по ним после того, как большинство пользователей установят новое обновление браузера.
Примечательно, что ранее обнаруженная уязвимость нулевого дня CVE-2020-16009 также связана с работой движка JavaScript V8 Chrome. Используя эту уязвимость злоумышленники могли удаленно выполнить произвольный код в браузере. Причем Google пояснила, что зафиксировала факты применения эксплойтов, использующих эту уязвимость.
