Google dicht actief aangevallen zeroday-lek in Chrome

[Captain Kirk]

Google heeft een beveiligingsupdate voor Chrome uitgebracht die een actief aangevallen zerodaylek in de browser verhelpt. De kwetsbaarheid, aangeduid als CVE-2020-15999, betreft een heap buffer overflow in FreeType die ontstaat bij het verwerken van speciaal geprepareerde TTF-bestanden.

FreeType is een gratis library voor het weergeven van fonts waar Chrome gebruik van maakt. Andere software die van FreeType gebruikmaakt loopt ook risico. Aanvallen zijn echter alleen tegen Chrome-gebruikers waargenomen. zo laat Ben Hawkes van Google Project Zero weten. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

CVE-2020-15999 alleen is niet voldoende om systemen te compromitteren. Hiervoor is een tweede kwetsbaarheid vereist. Of een tweede kwetsbaarheid ook bij de waargenomen aanvallen is gebruikt laat Hawkes niet weten. Vorig jaar werd een zerodaylek in Chrome nog gecombineerd met een kwetsbaarheid in Windows om zo Windows 7-gebruikers met malware te infecteren. Begin dit jaar patchte Google ook al een actief aangevallen zeroday in Chrome. Updaten naar Chrome 86.0.4240.111 zal op de meeste systemen automatisch gebeuren.

 

bron: security.nl