Google Chrome en Microsoft Edge hebben een upgrade gehad, waarbij beveiligingsproblemen zijn opgelost!
Google verhelpt Chrome-lek waarvoor exploit online beschikbaar is
woensdag 21 april 2021, 09:36 door
Redactie, 0
reacties
Google heeft een beveiligingsupdate voor Chrome uitgebracht waarmee zeven kwetsbaarheden
worden verholpen, waaronder een beveiligingslek waarvoor sinds 14 april een exploit online
beschikbaar is. Wederom is er sprake van een zogeheten "patch gap" in de browser van Google.
Een patch gap doet zich voor wanneer er een beveiligingslek in opensourcesoftware is gepatcht,
maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware
gebruikmaken. In dit geval, net als een week geleden, gaat het om een kwetsbaarheid in de V8
JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript.
Op 5 april meldde beveiligingsonderzoeker
Jose Martinez een kwetsbaarheid in de V8-engine
aan Google. Het beveiligingslek, CVE-2021-21224, werd op 12 april door Google in de
JavaScript-engine verholpen. Het techbedrijf maakte de bijbehorende regress/unittest openbaar.
Aan de hand van deze informatie lukte het een andere onderzoeker om de onderliggende
kwetsbaarheid te achterhalen en ontwikkelde vervolgens een exploit, die online werd geplaatst.
Een zelfde situatie deed zich ook al
een week geleden voor met een kwetsbaarheid in de V8
JavaScript-engine. Via beide beveiligingslekken in de V8-engine kan een aanvaller code binnen
de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website
wordt bezocht.
Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen.
Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet
mogelijk om systemen door middel deze kwetsbaarheden te compromitteren. Hiervoor is een
tweede beveiligingslek vereist. De overige zes beveiligingslekken die Google binnen Chrome
heeft opgelost hebben een zelfde impact, die als "high" wordt bestempeld.
In maart maakte Google bekend dat het later dit jaar
elke vier weken een nieuwe Chrome-versie
gaat uitbrengen, mede om de patch gap sneller te dichten. Updaten naar de nieuwste versie van
Google Chrome voor Linux, macOS en Windows, herkenbaar aan versienummer
90.0.4430.85,
zal op de meeste systemen automatisch gebeuren.