Kritiek lek in Google Chrome maakt remote code execution mogelijk

[Captain Kirk]

Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist. Google heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen.

De kwetsbaarheid, aangeduid als CVE-2022-2156, werd op 11 juni door Mark Brand van Google Project Zero aan het Chrome-team gerapporteerd. Het probleem bevindt zich in het "Base" onderdeel van de browser en maakt een use after free mogelijk waardoor een aanvaller buiten de sandbox van Chrome code op het systeem kan uitvoeren. In het ergste geval is daardoor volledige systeemovername mogelijk. Verder geeft Google geen details over de kwetsbaarheid.

Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op vijf, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.

Verder verhelpt Chrome 103.0.5060.53 dertien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.

 

bron: https://www.security.nl