Google heeft een nieuwe Chrome-update uitgebracht voor Windows, macOS en Linux die in totaal 11 beveiligingsproblemen oplost. Van deze kwetsbaarheden lost de update een zeer ernstige zero-day bug op die al door aanvallers is uitgebuit. Het staat bekend als een ‘use-after-free’-kwetsbaarheid die bestaat in de animatiecomponent van Chrome. Een aanvaller kan de bug misbruiken om gegevens te beschadigen of zelfs een code op het systeem uit te voeren, zonder de gebruikers hiervan op de hoogte te stellen. Dit is met name de eerste zero-day-bug die van invloed is op de Chrome-browser en die is gepatcht door Google.
Via een korte blogpost, Google kondigde de release aan van chroom versie 98.0.4758.102 voor ramen, macOSen Linux die de komende dagen naar gebruikers over de hele wereld zal worden uitgerold.
Naast andere fixes die beschikbaar zijn in de nieuwste release, is de zero-day-bug geïdentificeerd als: CVE-2022-0609. Het werd gemeld door Google’s Threat Analysis Group op 10 februari, volgens de blogpost.
“Google is op de hoogte van berichten dat er een exploit voor CVE-2022-0609 in het wild bestaat”, aldus het bedrijf.
Gezien de ernst van de bug, wordt gebruikers geadviseerd om Chrome onmiddellijk op hun systemen bij te werken.
Hoewel Chrome automatisch op nieuwe updates controleert, kunt u handmatig naar de nieuwste versie zoeken door naar chroom > Over Google Chrome. U kunt ook op de update controleren door op de knop met de drie stippen in de meest rechtse hoek te klikken en dan Helpen > Over Google Chrome.
Naast de zero-day-bug repareert Chrome-versie 98.0.4758.102 nog vier andere ‘gebruik-na-vrij’ beveiligingsproblemen die met een hoge ernst worden beoordeeld en die zijn gevonden in het Fire Manager-, Webstore API-, ANGLE- en GPU-proces van de browser. De update lost ook een andere zeer ernstige bug op die te wijten was aan een ‘heap buffer overflow’-probleem dat bestond in de tabbladgroepen.
Verder bevat de nieuwe versie een oplossing voor een middelgroot probleem dat bestond als gevolg van een ongepaste implementatie in de Gamepad API, volgens de details die openbaar zijn gedeeld door Google.
Dit is met name niet de eerste keer dat er een zero-day kwetsbaarheid wordt gevonden in Chrome. Vorig jaar loste Google in totaal 16 zero-day bugs in de browser op via verschillende beveiligingsupdates.
Zero-day-bugs kunnen behoorlijk schadelijk zijn voor de massa, aangezien ze worden ontdekt voordat beveiligingsonderzoekers en softwareleveranciers zich bewust worden van hun bestaan. Cybercriminelen en aanvallers kunnen deze kwetsbaarheden misbruiken voordat ze in de schijnwerpers komen om toegang te krijgen tot gebruikersgegevens en systemen.