Google patcht actief aangevallen zerodaylek in Chrome

[Captain Kirk]

Google heeft een beveiligingsupdate uitgebracht voor Chrome die drie kwetsbaarheden verhelpt, waaronder een zerodaylek dat actief werd aangevallen voordat de update beschikbaar was. Het lek bevond zich in de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript.

"Google is bekend met meldingen dat een exploit voor CVE-2020-6418 in het wild bestaat", zegt Krishna Govind van het Google Chrome Team. Details over de aanvallen en tegen welke gebruikers die waren gericht zijn niet gegeven. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Het beveiligingslek alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Het beveiligingslek werd gevonden door Clement Lecigne van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Vorig jaar werden gebruikers van Google Chrome ook al het doelwit van verschillende zeroday-aanvallen. Updaten naar Chrome 80.0.3987.122 zal op de meeste systemen automatisch gebeuren.

 

 

bron: security.nl