Google is onlangs begonnen met de uitrol van een nieuwe desktop Chrome update voor Windows, Mac en Linux. De reden hiervoor zijn verschillende kwetsbaarheden in de huidige versie van de browser.
De Chrome desktop update gaat onder versienummer 90.0.4430.85 en komt met zeven verschillende beveiligingspatches. In het Chrome Releases gedeelte van Google’s blog beschrijft het bedrijf vijf van de gevonden bugs.
Lijst Chrome bugs
De vijf bugs werden gerapporteerd in maart en april van dit jaar en werden gefixt door externe onderzoekers. Het gaat onder andere om CVE-2021-21222: een heap buffer overflow in V8. Bij bij een buffer overflow schrijft het programma data naar een buffer, die daar niet genoeg ruimte voor heeft. Een heap buffer overflow is hier variatie op, waarbij de overloop zich voordoet in het heap data gebied.
Een andere kwetsbaarheid die is aangepakt is CVE-2021-21224: een type confusion in V8. Een type confusion is doorgaans het gevolg van een stuk code, die het type van een doorgegeven object niet verifieert. Google geeft aan dat het bedrijf ervan op de hoogte is dat deze kwetsbaarheid “in het wild” bestaat.
Daarnaast komt de Google Chrome update ook met een fix voor CVE-2021-21223: een integer overflow in Mojo, CVE-2021-21225: out of bounds memory access in V8 en CVE-2021-21226: een ” use after free” bug in de navigatie. Dit laatste heeft te maken met het onjuist gebruiken van dynamisch geheugen tijden een bepaalde actie in een programma.
Google bedankt de vijf externe onderzoekers in zijn blog post en laat weten dat het eigen interne beveiligingsteam verantwoordelijk is voor een grote reeks aan Chrome fixes. Deze zijn onder andere het resultaat van interne controles en fuzzing. Veel van de bugs zouden aan het licht gekomen zijn door gebruik te maken van AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Intergrity, libFuzzer en AFL.
3 uur geleden
