Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin een ernstig beveiligingslek is verholpen. Via een dergelijke kwetsbaarheid kan een aanvaller het onderliggende systeem overnemen, waarbij er nauwelijks interactie van de gebruiker is vereist.

Alleen het bezoeken van een gehackte of kwaadaardige website of het te zien krijgen van een besmette advertentie is voldoende. Dergelijke kwetsbaarheden worden zelden in Chrome gevonden. Vorig jaar verhielp Google vier ernstige lekken, een recordaantal. In 2014, 2015, 2016 en 2017 werden er respectievelijk drie, twee, geen en drie ernstige kwetsbaarheden door externe onderzoekers in Chrome ontdekt en aan Google gerapporteerd.

Het nu verholpen ernstige lek was aanwezig in QUIC, een door Google ontwikkeld netwerkprotocol. In 2017 werden er in QUIC ook al twee ernstige kwetsbaarheden ontdekt. De onderzoeker die het probleem bij Google meldde kreeg hiervoor een beloning van 7500 dollar. Daarnaast zijn er ook nog 57 andere beveiligingslekken in Chrome 72 gepatcht die minder ernstig van aard waren.

Verder geeft Chrome 72 geen ftp-content meer weer in de browser en is de ondersteuning van public key pinning verwijderd. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. Volgens Google wordt er echter weinig gebruik gemaakt van public key pinning. Updaten naar Chrome 72.0.3626.81 gebeurt op de meeste systemen automatisch.