Google heeft een kritieke kwetsbaarheid in Chrome gedicht waardoor remote code execution mogelijk was. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren. In het ergste geval zou er zo volledige controle over het systeem verkregen kunnen worden.
De kwetsbaarheid bevond zich in het spraakherkenningsonderdeel van de browser en werd op 4 april door onderzoekers Leecraso en Guang Gong van securitybedrijf Qihoo 360 aan Google gerapporteerd. Gisterenavond werd de beveiligingsupdate beschikbaar gemaakt. In januari kwam Google ook al met een update voor een kritieke kwetsbaarheid in de spraakherkenning.
Google beloont onderzoekers voor het rapporteren van kwetsbaarheden, waarbij ernstige beveiligingslekken de hoogste beloning opleveren. Zowel voor de kritieke kwetsbaarheid van januari als die van april is de beloning nog niet bekendgemaakt. Onderzoeker Guang Gong ontving vorig jaar 30.000 dollar voor een ernstig lek in Chrome dat hij aan Google rapporteerde. Zijn hoogste beloning van Google staat echter op 200.000 dollar. Dat was voor een aanval waardoor het mogelijk was om Pixel 3-telefoons op afstand over te nemen.
In tegenstelling tot andere browsers worden kritieke kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Vorig jaar ging het om een "recordaantal" van vijf "critical" kwetsbaarheden. Het jaar daarvoor waren het er vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Dit jaar staat de teller al op twee. Updaten naar Chrome 81.0.4044.113 zal op de meeste systemen automatisch gebeuren. Google meldt dat de patch de komende dagen/weken onder gebruikers wordt uitgerold.
Deze posting is gelocked. Reageren is niet meer mogelijk.