Google verhelpt actief aangevallen zerodaylekken in Chrome

[Captain Kirk]

Gebruikers van Google Chrome zijn gewaarschuwd voor twee zerodaylekken in de browser die actief zijn gebruikt bij aanvallen. Google heeft inmiddels beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. Het totaal aantal verholpen zerodaylekken dit jaar komt daarmee op tien.

De kwetsbaarheden, aangeduid als CVE-2021-30632 en CVE-2021-30633 zijn aanwezig in V8 en de Indexed DB API. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Indexed DB is een programmeerinterface voor de opslag van data binnen de browser. De impact van beide beveiligingslekken is als "high" beoordeeld.

Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Details over de waargenomen aanvallen, zoals het aantal slachtoffers, wanneer de aanvallen plaatsvonden en hoe, zijn niet door Google gegeven. Het techbedrijf werd op 8 september door een anonieme beveiligingsonderzoeker over de kwetsbaarheden ingelicht.

Gebruikers krijgen het advies om te updaten naar Google Chrome 93.0.4577.82, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen.

 

bron: https://www.security.nl