Gebruikers van Google Chrome zijn opnieuw het doelwit van een zeroday-aanval geworden. Google heeft een beveiligingsupdate uitgebracht die ook een kritieke kwetsbaarheid verhelpt waardoor aanvallers systemen op afstand kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Details over de waargenomen aanvallen, die Google zelf ontdekte, zijn niet door het techbedrijf gegeven.
Dit jaar heeft Google al meerdere zerodaylekken in Chrome verholpen die al voor het uitkomen van de update werden misbruikt. Eerder was het raak in februari, maart, april en juli. De nieuwste zeroday (CVE-2022-2856) werd vorige maand door onderzoekers van Googles Threat Analysis Group gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.
De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.
Een andere kwetsbaarheid in de browser maakt het echter wel mogelijk om systemen op afstand over te nemen. Volgens Google wordt er van dit kritieke beveiligingslek, aangeduid als CVE-2022-2852, voor zover bekend geen misbruik gemaakt. Ook deze kwetsbaarheid werd door Google zelf gevonden. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op zes, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.
Naast het aangevallen zerodaylek en de kritieke kwetsbaarheid verhelpen Chrome 104.0.5112.101 voor Mac en Linux en Chrome 104.0.5112.102/101 voor Windows negen andere kwetsbaarheden. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.