Google waarschuwt voor kritiek Chrome-lek dat aanvaller code laat uitvoeren

[Captain Kirk]

Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-0971, werd door een onderzoeker van Google zelf gevonden.

Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, hoewel de teller dit jaar inmiddels op drie staat. Twee daarvan werden gevonden door Google-onderzoeker Sergei Glazunov. CVE-2022-0971 bevindt zich in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent. Door de kwetsbaarheid kan een "use after free" ontstaan en is het mogelijk voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren.

Het beveiligingslek werd op 21 februari door Glazunov aan Google gerapporteerd. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 99.0.4844.74 tien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren.

 

bron: https://www.security.nl