Kritiek lek in Google Chrome maakt remote code execution mogelijk

[Captain Kirk]

Google heeft een kritieke kwetsbaarheid in Chrome verholpen die remote code execution mogelijk maakt. Het beveiligingslek is aanwezig in het onderdeel van de browser dat wordt gebruikt voor het verwerken van betalingen. Het gaat om een zogeheten 'use after free'. Verdere details worden niet door Google gegeven, behalve dat de kwetsbaarheid (CVE-2021-21142) is ontdekt en gemeld door beveiligingsonderzoeker Khalil Zhani.

De onderzoeker kreeg voor zijn bugmelding een beloning van 20.000 dollar. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker vereist. Vorig jaar oktober kreeg Google echter ook met een kritieke kwetsbaarheid in het betalingsonderdeel te maken.

Naast de kritieke kwetsbaarheid heeft Google ook vijf andere beveiligingslekken in de browser verholpen, waaronder in de extensies, 'tab groups', het verwerken van fonts en navigatie. Deze lekken zijn echter minder ernstig van aard. Updaten naar Chrome 88.0.4324.146 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren. Aangezien deze update een kritiek beveiligingslek verhelpt zal Google proberen om de patch binnen dertig dagen onder alle gebruikers uit te rollen.

Update

Microsoft zal naar verwachting ook een nieuwe versie van Edge Chromium uitbrengen, maar doet dit meestal na de release van Google Chrome. Op deze pagina is een overzicht van de Chromium-updates voor Microsoft Edge te vinden.

 

bron: https://www.security.nl