Google ha parcheado una segunda falla de día cero explotada activamente en el navegador Chrome en dos semanas, además de abordar otras nueve vulnerabilidades de seguridad en su última actualización.

La compañía lanzó 86.0.4240.183 para Windows, Mac y Linux, que dijo que se implementará en los próximos días o semanas para todos los usuarios.

La falla de día cero, rastreada como CVE-2020-16009fue informado por Clement Lecigne del Threat Analysis Group (TAG) de Google y Samuel Groß de Google Project Zero el 29 de octubre.

La compañía también advirtió que «está al tanto de los informes de que existe un exploit para CVE-2020-16009».

Google no ha hecho público ningún detalle sobre el error o el exploit utilizado por los actores de amenazas para permitir que la mayoría de los usuarios instalen las actualizaciones y evitar que otros adversarios desarrollen sus propios exploits aprovechando la falla.

Pero Ben Hawkes, líder técnico de Google Project Zero, dijo CVE-2020-16009 se refería a una «implementación inapropiada» de su motor de renderizado JavaScript V8 que conducía a la ejecución remota de código.

Además de las diez correcciones de seguridad para la versión de escritorio de Chrome, Google también abordó un día cero separado en Chrome para Android que estaba siendo explotado en la naturaleza: una falla de escape de sandbox rastreada como CVE-2020-16010.

Las divulgaciones de día cero se producen dos semanas después de que Google solucionó una falla crítica de desbordamiento de búfer (CVE-2020-15999) en la biblioteca de fuentes Freetype.

Luego, a fines de la semana pasada, la compañía reveló una escalada de privilegios de Windows de día cero (CVE-2020-17087) que se empleó en combinación con la falla de la biblioteca de representación de fuentes anterior para bloquear los sistemas de Windows.

El gigante de las búsquedas no aclaró hasta ahora si el mismo actor de amenazas estaba explotando los dos días cero.