Google lost kritieke kwetsbaarheid in Chrome op

Abonneer je gratis op Techzine!

Met het uitrollen van Chrome 81.0.4044.113 moet een kritieke kwetsbaarheid in de browser van Google worden verholpen, zo laat de techgigant weten op haar eigen website.

Cybersecurityfirma Sophos dook dieper in de melding, aangezien Google de kaken stijf op elkaar hield in de aankondiging van de bug. Enkel dat het ging om een kwetsbaarheid die te maken had met ‘use after free in speech recognizer’ en dat de melding was gedaan op 4 april dit jaar.

Het zou gaan on een kwetsbaarheid waarbij een deel van het geheugen wordt gereserveerd voor een bepaald proces en na gebruik wordt teruggegeven aan het OS. Mocht een programma echter per ongeluk nog gebruikmaken van een specifiek deel van het geheugen terwijl een ander programma daar reeds data overheen heeft geschreven, dan kan een programma bepaalde data aannemen als zijnde correct terwijl dit het niet is.

Remote Code Execution

In het ergste geval kan deze methode door kwaadwillende partijen worden gebruikt om geïnjecteerde code te gebruiken om een PC over te nemen. Aangezien het direct in het geheugen duikt, zijn beveiligingsmaatregelen van een browser zelf al gepasseerd. Dergelijke Remote Code Execution is waarschijnlijk waar het in de kwetsbaarheid om gaat, aangezien Google deze heeft aangemerkt als kritiek.

In eerste instantie liet Google weten in de komende dagen en weken de update die de kwetsbaarheid verhelpt uit te zullen rollen, op 15 april werd de update al live gezet. Chrome zou automatisch moeten updaten (tenzij dit is uitgeschakeld), maar wie er zeker van wil zijn dat de juiste versie is geïnstalleerd, kan het handmatig checken. Via ‘help’ en ‘over chrome’ komt het versienummer van de browser tevoorschijn. De update die de kritieke kwetsbaarheid verhelpt is 81.0.4044.113.