Chrome-update lost zero-day op; direct updaten aangeraden

Google heeft bekendgemaakt dat een patch die het op 1 maart uitrolde naar webbrowser Chrome een zero-day exploit oplost die actief werd uitgebuit. Het direct updaten van je browser is dus van groot belang. Veel details over de update en de exploit zijn er niet.

Een zero-day is een kwetsbaarheid die gewoonlijk niet bekend is bij een softwareontwikkelaar en hackers een hoog toegangsniveau geeft. In dit geval ging het om een zero-day met de naam CVE-2019-5786. Deze is opgelost met Chrome versie 72.0.3626.121 voor Mac, Linux en Windows, die afgelopen vrijdag werd vrijgegeven.

Weinig details

Google publiceerde vandaag pas enkele details van de exploit. Het gaat om een fout in de FileReader application programming interface van de browser. Die API stelt de browser ertoe in staat om toegang te krijgen tot lokaal opgeslagen bestanden en deze uit te lezen. Op de een of andere manier kunnen hackers daar misbruik van maken.

Veel meer details zullen er voorlopig niet gepubliceerd worden door Google. Het team schrijft in een blogpost van 1 maart dat details over de bug “beperkt blijven tot de meerderheid van gebruikers voorzien is van een fix”. Maar zelfs in dat geval kan het zijn dat er nog geen details bekend gemaakt worden, omdat bepaalde derde partijen ook op Chrome steunen. Pas als de meerderheid van die partijen ook een fix heeft uitgebracht, zullen details volgen.

Snelle patch

De Threat Analysis Group van Google hoorde op woensdag 27 februari voor het eerst over de bug. Die werd dus in de praktijk uitgebuit door kwaadwillenden. Google heeft dan ook grote prioriteit gelegd achter het oplossen van het probleem. Gebruikers krijgen het dringende advies om zo snel mogelijk hun browser te updaten. Hoofdontwikkelaar Justin Schuh stelt zelfs het volgende op Twitter:

Als je browser nog niet van een update is voorzien, kan je deze handmatig installeren. Surf daarvoor naar deze pagina: chrome://settings/help, waar je de update kan forceren. Zodra de update rond is, zal je je browser opnieuw moeten opstarten.