Kritiek lek in Google Chrome laat aanvaller code op systeem uitvoeren

[Captain Kirk]

Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor een aanvaller om willekeurige code op het systeem van gebruikers uit te voeren en in het ergste geval volledige systeemcontrole te krijgen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. Google heeft een update uitgebracht om het probleem te verhelpen.

De kwetsbaarheid, aangeduid als CVE-2022-1853, bevindt zich in Indexed DB, een programmeerinterface voor de opslag van data binnen de browser. Google geeft verder geen details over de bug, behalve dat die kan leiden tot een "use after free" waardoor het mogelijk is voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren. Het beveiligingslek werd op 12 mei door een anonieme onderzoeker aan Google gerapporteerd.

Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. De teller staat dit jaar pas op vier. In het geval van kritieke beveiligingslekken probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 102.0.5005.61 31 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.

 

bron: https://www.security.nl