Google heeft een nieuwe versie van Chrome uitgebracht waarin totaal vijftien beveiligingslekken zijn verholpen. Via de kwetsbaarheden had een aanvaller code binnen de context van de browser kunnen uitvoeren als er een gecompromitteerde of kwaadaardige website werd bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.
De kwetsbaarheden bevonden zich in verschillende onderdelen van de browser, waaronder taakbeheer, media, audio, de Skia graphics engine, de Blink-engine die Chrome gebruikt voor het weergeven van webcontent, WebGL en extensies. Een beveiligingslek in ANGLE (Almost Native Graphics Layer Engine), gebruikt voor het inschakelen van WebGL, werd door Google beloond met 10.000 dollar.
De beveiligingslekken konden zorgen voor een heap buffer overflow of use after free, waardoor de aanvaller zijn code had kunnen uitvoeren. Via alleen de nu verholpen kwetsbaarheden was het niet mogelijk om systemen te compromitteren. Er zou dan nog een tweede kwetsbaarheid zijn vereist.
De update naar Chrome 84.0.4147.125 zal op de meeste systemen automatisch plaatsvinden, maar is ook handmatig uit te voeren. De verholpen kwetsbaarheden zijn als "high" bestempeld, wat inhoudt dat Google zal proberen om alle Chrome-gebruikers binnen zestig dagen naar de nieuwe versie te updaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.