Kritiek lek in beveiligingsfunctie Google Chrome laat aanvaller code uitvoeren

[Captain Kirk]

Een kritieke kwetsbaarheid in een belangrijke beveiligingsfunctie van Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval het systeem van gebruikers kan overnemen. Daarbij volstaat het bezoeken van een gecompromitteerde of kwaadaardige website of het te zien krijgen van een besmette advertentie. Er is geen verdere interactie van de gebruiker vereist.

Het beveiligingslek, aangeduid als CVE-2022-0289, bevindt zich in Safe Browsing. Via deze feature waarschuwt Google gebruikers voor malafide websites en downloads, zoals phishingsites en besmette apps. Google onderzoeker Sergei Glazunov ontdekte op 5 januari een "use after free" in de beveiligingsfunctie, waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. De impact van het beveiligingslek is als kritiek beoordeeld.

Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, maar begin dit jaar werd er ook al een dergelijk beveiligingslek in de browser verholpen. Naast het beveiligingslek in Safe Browsing vond Glazunov ook een kwetsbaarheid in een andere beveiligingsfunctie van Chrome, namelijk Site Isolation. Deze beveiligingsfunctie zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden.

In deze feature trof de Google-onderzoeker ook een "use after free" kwetsbaarheid aan, alleen is de impact daarvan beperkt tot het uitvoeren van code binnen de browser. Het beveiligingslek werd daardoor niet beoordeeld als kritiek, maar kreeg het label "high". Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren.

Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Google betaalde de eigen medewerker 20.000 dollar voor het beveiligingslek in Site Isolation. Een beloning voor de kwetsbaarheid in Safe Browsing is nog niet bekendgemaakt. Met Chrome 97.0.4692.99 zijn in totaal 26 beveiligingslekken verholpen. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren.

 

bron: https://www.security.nl