Google patcht opnieuw meerdere kritieke RCE-kwetsbaarheden in Chrome

[Captain Kirk]

Google heeft opnieuw beveiligingsupdates uitgebracht om meerdere kritieke kwetsbaarheden in Chrome te verhelpen die remote code execution (RCE) mogelijk maken. Een aanvaller kan via dit soort beveiligingslekken malafide code op het systeem van gebruikers uitvoeren, waarbij alleen het bezoeken van een gehackte of gecompromitteerde website of het te zien krijgen van besmette advertenties voldoende is. Er is geen verdere interactie van gebruikers vereist.

Lange tijd was het aantal kritieke kwetsbaarheden in Chrome een stuk lager dan in andere browsers. Dat beeld begint enigszins te veranderen. Begin april kwam Google met een update waarmee vijf kritieke beveiligingslekken werden gepatcht. Gisterenavond verscheen een nieuwe update, die dit keer vier kritieke lekken dicht. De kwetsbaarheden zijn aanwezig in verschillende onderdelen van de browser, waaronder Canvas, Accessibility en Views. Details over de kwetsbaarheden, zoals hoe aanvallers er precies misbruik van kunnen maken, zijn nog niet door Google openbaar gemaakt.

In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 147.0.7727.137/138 is beschikbaar voor Windows en macOS. Voor Linux is versie 147.0.7727.137 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen tot weken duren. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

 

bron: https://www.security.nl