Chrome update fixt zero-day aanvallen!

De update naar de nieuwe Chrome versie 93.0.4577.82 is beschikbaar voor Windows, macOS en Linux.
In de Chrome Release Blog geeft Prudhvikumar Bommana een overzicht van negen beveiligingslekken
die externe beveiligingsonderzoekers hebben ontdekt en aan Google hebben gemeld.

Alle zijn aangemerkt als high risk, waaronder twee 0-day kwetsbaarheden. Daarnaast zijn er intern nog
twee kwetsbaarheden gevonden, waarover Google, zoals altijd, geen informatie verstrekt.

De beveiligingsonderzoekers die kwetsbaarheden hebben ontdekt en aan Google hebben gemeld,
hebben tot dusver 20 000 dollar aan bonussen van het bedrijf gekregen. Voor de meeste kwetsbaarheden
is het bedrag van de respectieve bonus nog niet bepaald (TBD: nog vast te stellen). Dit geldt ook voor de
twee 0-day kwetsbaarheden (CVE-2021-30632, CVE-2021-30633), die anoniem werden gemeld.

CVE-2021-30632 is een buffer overflow in de Javascript engine V8. CVE-2021-30633 is een use-after-free
kwetsbaarheid in de Indexed DB application programming interface (API) die het mogelijk maakt om
gestructureerde gegevens in de browser op te slaan. Google meldt dat er exploitcode voor beide
kwetsbaarheden in omloop is. Prudhvikumar Bommana laat in het midden of er aanvallen zijn die gebruik
maken van deze kwetsbaarheden.

De fabrikanten van andere op Chromium gebaseerde browsers worden opgeroepen dit voorbeeld snel te
volgen. Tot nu toe hebben alleen Brave en Microsoft Edge de overstap gemaakt naar Chromium 93. Beide
bevatten echter nog steeds de kwetsbare Chromium versie 93.0.4577.63. Vivaldi heeft een release candidate
(RC 1) voor versie 4.2, die is gebaseerd op Chromium 93. Opera lijkt nog niet klaar te zijn.

Chrome 93.0.4577.22 is beschikbaar voor Android in de Google Play Store en Chrome 93.0.4577.78 voor iOS
in Apple's App Store. Chrome 94 zal op 21 september worden uitgebracht.

Vertaald met www.DeepL.com/Translator (gratis versie)
 
Bovenaan Onderaan