Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid in een beveiligingsmaatregel van de browser waardoor aanvallers in het ergste geval het systeem van gebruikers kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website is voldoende. Er is geen verdere interactie van gebruikers vereist. Google heeft updates uitgebracht om het probleem te verhelpen.

Het beveiligingslek (CVE-2023-5218) bevindt zich in Site Isolation, een onderdeel van de browser dat ervoor zorgt dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden, aldus Google. Ook helpt het bij het tegengaan van Spectre-achtige aanvallen. Doordat dat van andere websites over het algemeen niet in hetzelfde proces worden geladen zou er veel minder data voor de aanvaller beschikbaar zijn.

De kwetsbaarheid in Site Isolation kan tot een use-after-free leiden waardoor een aanvaller code op het systeem kan uitvoeren. Google geeft geen verdere details over het beveiligingslek. Het probleem werd door een externe onderzoeker gerapporteerd. De beloning die Google hiervoor zal uitkeren is ook nog niet bekendgemaakt.

In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 118.0.5993.70/.71 is beschikbaar voor Windows. Voor macOS en Linux verscheen versie 118.0.5993.70. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren.