Kritiek lek in Google Chrome laat aanvaller systeem overnemen

[Captain Kirk]

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek dat het mogelijk voor een aanvaller maakt om in het ergste geval het onderliggende systeem over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide websites of bekijken van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist.

De kwetsbaarheid, aangeduid als CVE-2022-3038, bevindt zich in de Network Service van Chrome. Een onderdeel dat de netwerkfunctionaliteit van de browser regelt. Beveiligingsonderzoeker Sergei Glazunov van Google Project Zero ontdekte een "use after free" in de code waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren.

In tegenstelling tot voorgaande jaren is er dit jaar al een recordaantal kritieke kwetsbaarheden in de browser gevonden. De teller staat nu op zes. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.

Verder verhelpt 105.0.5195.52 23 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.

 

bron: https://www.security.nl