Google brengt opnieuw een patch uit voor een zero-day kwetsbaarheid. Het is alweer de derde keer dit jaar dat hackers misbruik hebben gemaakt van dergelijke kwetsbaarheden in de populaire browser, wat zorgen baart over de gevoeligheid voor gerichte aanvallen. Google erkende het bestaan van een exploit voor CVE-2023-3079 in een recent securitybulletin en drong er bij gebruikers op aan om voorzichtig te zijn.
Hoewel de details over de exploit en de aanvallen niet bekend zijn gemaakt, is de beslissing van Google om technische details achter te houden in lijn met hun gebruikelijke aanpak van dergelijke kwesties. De redenering is eenvoudig: men wil gebruikers beschermen tegen schade totdat een aanzienlijk aantal hiervan is overgestapt op de beveiligde versie. Door de informatie te beperken, kunnen tegenstanders de kwetsbaarheid niet verder uitbuiten.
Google-onderzoeker Clément Lecigne ontdekte CVE-2023-3079 op 1 juni 2023.
De zeer ernstige kwetsbaarheid komt voort uit een fout in V8, de JavaScript-engine van Chrome die verantwoordelijk is voor het uitvoeren van code in de browser. Dergelijke bugs ontstaan wanneer de engine het type van een object tijdens runtime verkeerd interpreteert, waardoor geheugenmanipulatie en arbitrary code execution mogelijk worden.
Google heeft eerder CVE-2023-2033 aangepakt, een ander type bug in de V8 JavaScript-engine. Kort daarna werd met een noodbeveiligingsupdate CVE-2023-2136 verholpen, een actief misbruikte fout in de 2D grafische bibliotheek van de browser, Skia.
Zero-day kwetsbaarheden worden vaak het doelwit van geavanceerde dreigingsactoren. Hieronder vallen ook kwetsbaarheden die te maken hebben met door natiestaten gesponsorde activiteiten, voornamelijk gericht op hooggeplaatste personen in de overheid, de media of kritieke organisaties.
Update nu om problemen te voorkomen
De nieuwste Chrome-versie pakt niet alleen de zero-day kwetsbaarheid aan, maar pakt ook problemen aan die zijn geïdentificeerd tijdens interne audits en code fuzzing-analyses. De update wordt de komende dagen en weken geleidelijk uitgerold, waarbij wordt gezorgd voor een zorgvuldig distributieproces.
Om de Chrome-update handmatig te starten, kunnen gebruikers naar het instellingenmenu gaan (in de rechterbovenhoek) en Help selecteren, gevolgd door Over Google Chrome. De applicatie moet opnieuw worden gestart om de update te voltooien.
Als alternatief worden beveiligingsupdates automatisch geïnstalleerd wanneer de browser de volgende keer wordt gestart, zodat de gebruiker niet hoeft in te grijpen. Gebruikers moeten op de pagina “Over” controleren of ze de nieuwste versie gebruiken.
13 uur geleden
