Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin twee ernstige beveiligingslekken zijn verholpen. Daarnaast zal de browser bepaalde certificaten van Symantec niet meer vertrouwen en worden gebruikers gewaarschuwd als software code in de browser probeert te injecteren.

In tegenstelling tot Edge, Internet Explorer, Safari en Firefox worden ernstige kwetsbaarheden in Chrome zelden gevonden. Via een ernstig beveiligingslek kan een aanvaller code op het onderliggende systeem uitvoeren en dat in theorie volledig overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website is dan voldoende. Er is geen verdere interactie van de gebruiker vereist. In 2014 ging het in totaal om drie ernstige kwetsbaarheden in Chrome en in 2015 werden er twee geteld. Een jaar later in 2016 werden er geen ernstige lekken gevonden en vorig jaar ging het er om drie.

Dit keer gaat het om twee ernstige kwetsbaarheden die door onderzoeker Ned Williamson werden gevonden. Williamson ontdekte ook twee van de drie ernstige kwetsbaarheden die vorig jaar in Chrome werden gepatcht. De nu gevonden beveiligingslekken bevinden zich in het Disk Cache-onderdeel van Chrome, maar verdere informatie wordt op dit moment nog niet gegeven. Dat zal pas later gebeuren als alle gebruikers de update naar Chrome 66 hebben ontvangen. In totaal zijn er in de nieuwste Chrome-versie 62 kwetsbaarheden gepatcht. Google betaalde onderzoekers meer dan 33.000 dollar voor het melden hiervan, maar de uiteindelijke kosten zullen hoger uitvallen aangezien de beloning voor Williamson nog niet bekend is gemaakt.

Symantec-certificaten

Daarnaast waarschuwt Chrome nu ook voor websites die bepaalde Symantec-certificaten gebruiken voor het aanbieden van een versleutelde verbinding. Begin vorig jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Daarop besloot Google om het vertrouwen in certificaten van Symantec op te zeggen. Dit gebeurt in fasen, waarbij nu Symantec-certificaten die voor 1 juni 2016 zijn uitgegeven niet meer worden vertrouwd. Chrome-gebruikers krijgen dan bij deze websites een certificaatwaarschuwing te zien en kunnen de website niet zonder extra handelingen uit te voeren bezoeken.

Code-injecties

Een andere belangrijke maatregel die in Chrome 66 is doorgevoerd betreft het waarschuwen voor geïnjecteerde code. Volgens Google heeft tweederde van de Chrome-gebruikers op Windows software geïnstalleerd die interacties met Chrome heeft, zoals anti-virussoftware. Gebruikers met software die code in Chrome injecteert hebben 15 procent meer kans om met crashes te maken krijgen. Vanaf juli 2018 met de lancering van Chrome 68 zal Google daarom het injecteren van code door third-party software in de Windows-versie van Chrome gaan blokkeren.

Deze aanpassing zal in drie fases plaatsvinden, waarbij wordt begonnen met Chrome 66. Gebruikers zullen nu na een crash een waarschuwing te zien krijgen dat andere software code in Chrome injecteert. Vervolgens krijgen gebruikers advies om deze software te updaten of van het systeem verwijderen. Updaten naar Chrome 66.0.3359.117 zal op de meeste systemen automatisch gebeuren.