image

Google verhelpt Chrome-lek waarvoor exploit online beschikbaar is

woensdag 21 april 2021, 09:36 door Redactie, 0 reacties

Google heeft een beveiligingsupdate voor Chrome uitgebracht waarmee zeven kwetsbaarheden worden verholpen, waaronder een beveiligingslek waarvoor sinds 14 april een exploit online beschikbaar is. Wederom is er sprake van een zogeheten "patch gap" in de browser van Google.

Een patch gap doet zich voor wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. In dit geval, net als een week geleden, gaat het om een kwetsbaarheid in de V8 JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript.

Op 5 april meldde beveiligingsonderzoeker Jose Martinez een kwetsbaarheid in de V8-engine aan Google. Het beveiligingslek, CVE-2021-21224, werd op 12 april door Google in de JavaScript-engine verholpen. Het techbedrijf maakte de bijbehorende regress/unittest openbaar. Aan de hand van deze informatie lukte het een andere onderzoeker om de onderliggende kwetsbaarheid te achterhalen en ontwikkelde vervolgens een exploit, die online werd geplaatst.

Een zelfde situatie deed zich ook al een week geleden voor met een kwetsbaarheid in de V8 JavaScript-engine. Via beide beveiligingslekken in de V8-engine kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen.

Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel deze kwetsbaarheden te compromitteren. Hiervoor is een tweede beveiligingslek vereist. De overige zes beveiligingslekken die Google binnen Chrome heeft opgelost hebben een zelfde impact, die als "high" wordt bestempeld.

In maart maakte Google bekend dat het later dit jaar elke vier weken een nieuwe Chrome-versie gaat uitbrengen, mede om de patch gap sneller te dichten. Updaten naar de nieuwste versie van Google Chrome voor Linux, macOS en Windows, herkenbaar aan versienummer 90.0.4430.85, zal op de meeste systemen automatisch gebeuren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.