Google Chrome opnieuw kwetsbaar door "patch-gap"

[Captain Kirk]

Google Chrome is opnieuw kwetsbaar wegens een "patch-gap" in de JavaScript-engine die de browser gebruikt, zo stelt onderzoeker István Kurucsai van securitybedrijf Exodus Intelligence. Er is sprake van een patch-gap wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken.

In het geval van Google Chrome speelt het probleem bij de V8 JavaScript-engine waar de browser gebruik van maakt. Een kwetsbaarheid in dit opensource-onderdeel werd halverwege augustus gepatcht. De oplossing voor Google Chrome zal later vandaag pas verschijnen. Aanvallers kunnen het tijdsvenster tussen de opensourcepatch en Chrome-patch misbruiken om een exploit te ontwikkelen en zo gebruikers aan te vallen.

Via de kwetsbaarheid in de JavaScript-engine kan een aanvaller willekeurige code uitvoeren. Om het onderliggende systeem over te nemen is er echter een tweede kwetsbaarheid vereist om uit de sandbox van Chrome te breken. Gebruikers kunnen in afwachting van de update het uitvoeren van JavaScript in de browser uitschakelen. In april ontdekte Kurucsai ook al een patch-gap dat door de V8-engine werd veroorzaakt en eind augustus stelde ook Google dat er door de JavaScript-engine een patch-gat was ontstaan.

 

 

bron: security.nl