Google heeft een zeldzame kritieke zeroday in Chrome verholpen die is gebruikt bij aanvallen en aanvallers de mogelijkheid biedt om code op het onderliggende systeem uit te voeren. Daarvoor is alleen het bezoeken van een malafide of gecompromitteerde website of het te te zien krijgen van een besmette advertentie voldoende. Verdere actie van gebruikers is niet vereist. Dit wordt ook wel een drive-by download-aanval genoemd.
Chrome krijgt regelmatig met zerodaylekken te maken, maar die impact van deze kwetsbaarheden is dan als "high" beoordeeld. Dergelijke beveiligingslekken laten een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.
Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google heeft nu een update uitgebracht voor een actief aangevallen kritieke kwetsbaarheid (CVE-2023-4863), waardoor het mogelijk is voor een aanvaller om code op het onderliggende systeem uit te voeren en dat in het ergste geval volledig over te nemen. Een tweede kwetsbaarheid is dan niet meer vereist.
Het zerodaylek werd gevonden door onderzoekers van Apple en Citizen Lab, die het probleem op 6 september aan Google rapporteerden. Onlangs vonden beide partijen ook twee zerodaylekken die werden gebruikt voor het stilletjes infecteren van iPhones met de Pegasus-spyware. Details over de aanvallen zijn niet door Google gegeven.
In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Het gaat om Google Chrome 116.0.5845.187/.188 voor Windows en versie 116.0.5845.187 voor macOS en Linux. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.