Google heeft een spoedpatch gepubliceerd voor een kritieke zero-day-kwetsbaarheid in Chrome Windows, Mac en Linux.

De details zijn schaars. We weten dat het om een type confusion-kwetsbaarheid gaat. Dergelijke kwetsbaarheden werken als volgt. Allereerst deelt een applicatie een object in een bepaalde categorie in, bijvoorbeeld ‘peren’. Vervolgens probeert de applicatie het object met een andere categorie op te roepen, bijvoorbeeld ‘appels’. De applicatie aarzelt en onderbreekt. Soms blijft het daarbij, want de meeste programmeertalen hebben een noodrem. Andere talen draaien door, waaronder C en C++. Hackers kunnen type confusion misbruiken voor ongemachtigde toegang tot het geheugen van een systeem.

De recentste update verhelpt een type confusion-kwetsbaarheid in Chrome. Versie 100.0.4896.127 wordt automatisch uitgerold op Windows, Mac en Linux. Google laat weten dat het enkele dagen tot weken kan duren voordat de patch bij iedere gebruiker aankomt. Het laatste verklaart de schaarse details. Er is geen bewijs dat de kwetsbaarheid in de praktijk is misbruikt. Dat hoopt Google zo te houden. Uitgebreide details kunnen onbedoeld als handleiding worden gebruikt door cybercriminelen.

Snelle fix voor CVE-2022-1364

Je hoeft niet te wachten op de automatische update. Handmatig patchen is een kwestie van minuten. Open de ‘Instellingen’ (of ‘Settings’) van Chrome via het keuzemenu rechtsboven de browser. Klik op ‘Over Chrome’ (of ‘About Chrome’) onderaan de linkerbalk. Je ziet de versie van jouw browser. Waarschijnlijk is Chrome reeds bijgewerkt. Zo niet, dan klik je op downloadknop en haal je de recentste versie handmatig op.

Jagen

De kwetsbaarheid werd gevonden door de Google Threat Analysis Group, een interne securitytak van Google. De afdeling jaagt op kwetsbaarheden met behulp van open source-softwaretools, waaronder AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer en AFL.

Iedereen mag meedoen. Google nodigt gebruikers uit om kwetsbaarheden te vinden en rapporteren. Gouden tips worden met geld beloond. In 2021 betaalde google 3,3 miljoen euro uit aan 115 onafhankelijke securityonderzoekers. Samen vonden zij 333 kwetsbaarheden in Google Chrome.