Google heeft een noodupdate voor Chrome uitgebracht om een kritieke zero-day buiten de deur te houden. De kwetsbaarheid stelt cybercriminelen in staat via een speciaal aangemaakte HTML-pagina willekeurige code via een sandbox in de V8 JavaScript-engine van de browser te draaien.

De recent uitgebrachte noodpatch voor de CVE-2024-4947 in de Chrome-browser moet meer specifiek een zogenoemde ‘type confusion bug’ aanpakken. De kwetsbaarheid zorgt er uiteindelijk voor dat cybercriminelen niet-toegestane acties in de browseromgeving kunnen uitvoeren. Deze acties kunnen op hun beurt dan weer andere aanvallen in de hand werken.

Meer browsers kwetsbaar

De kwetsbaarheid doet zich voor in alle Chrome-releases vóór versie 125.0.6422.60. De techgigant adviseert gebruikers met klem up te daten naar versie 125.0.6422.60/.61 voor Windows en macOS. Linux-gebruikers moeten updaten naar versie 125.0.6422.60.

Gebruikers van op Chromium gebaseerde browsers zoals Microsoft Edge, Opera, Vivaldi en Brave moeten ook checken op updates. Ook deze browsers worden door dezelfde kwetsbaarheid getroffen.

Andere patches

Naast de zeer kritieke kwetsbaarheid heeft Google Chrome in de noodpatch ook acht andere kwetsbaarheden gedicht. Onder meer werd de CVE-2024-4948-kwetsbaarheid aangepakt. Via deze kwetsbaarheid zijn cybercriminelen in staat mogelijk een fout in het geheugenbeheer of ‘heap corruption’ te misbruiken. Ook hiervoor speelt een specifiek aangemaakte HTML-pagina een rol.

