Google rolt update uit voor actief aangevallen kwetsbaarheid in Chrome

[Captain Kirk]

Google heeft een beveiligingsupdate uitgerold voor een actief aangevallen kwetsbaarheid in Chrome. Gebruikers die meteen beschermd willen zijn kunnen het beste een handmatige update uitvoeren. Het beveiligingslek is aanwezig in het onderdeel van de browser dat verantwoordelijk is voor het verwerken van CSS (Cascading Style Sheets) en kan leiden tot een use-after-free.

Google heeft de impact van het probleem (CVE-2026-2441) beoordeeld als 'high'. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Details over de waargenomen aanvallen zijn niet door Google gegeven. De kwetsbaarheid is verholpen in Google Chrome 145.0.7632.75/76 voor Windows en macOS en Chrome 144.0.7559.75 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van kwetsbaarheden met het stempel 'high' echter tot zestig dagen duren. Gebruikers die de update direct willen ontvangen zullen dan ook een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

 

bron: https://www.security.nl