Opera verhelpt actief aangevallen Chromium-lek in eigen browser

[Captain Kirk]

Opera heeft vandaag een update voor de eigen browser uitgebracht waarmee een actief aangevallen zerodaylek wordt verholpen. Google en Microsoft kwamen respectievelijk op 2 en 3 september met beveiligingsupdates voor de kwetsbaarheid. Net als Chrome en Edge is Opera gebaseerd op Chromium, de door Google ontwikkelde opensourcebrowser.

De impact van de kwetsbaarheid (CVE-2022-3075) is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de browser-sandbox te ontsnappen vallen hieronder.

Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Details over de aanvallen zijn niet gegeven. Opera-gebruikers worden aangeraden om te updaten naar versie 90.0.4480.84. Volgens Google is de toename van het aantal actief aangevallen zerodaylekken in Chromium-gebaseerde browsers mede te verklaren door het toegenomen marktaandeel. Iets wat al lange tijd een doorn in het oog van Mozilla is, dat waarschuwt voor een nieuw browsermonopolie.

 

bron: https://www.security.nl