image

Google dicht actief aangevallen zeroday-lek in Chrome

dinsdag 20 oktober 2020, 22:54 door Redactie, 2 reacties

Google heeft een beveiligingsupdate voor Chrome uitgebracht die een actief aangevallen zerodaylek in de browser verhelpt. De kwetsbaarheid, aangeduid als CVE-2020-15999, betreft een heap buffer overflow in FreeType die ontstaat bij het verwerken van speciaal geprepareerde TTF-bestanden.

FreeType is een gratis library voor het weergeven van fonts waar Chrome gebruik van maakt. Andere software die van FreeType gebruikmaakt loopt ook risico. Aanvallen zijn echter alleen tegen Chrome-gebruikers waargenomen. zo laat Ben Hawkes van Google Project Zero weten. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

CVE-2020-15999 alleen is niet voldoende om systemen te compromitteren. Hiervoor is een tweede kwetsbaarheid vereist. Of een tweede kwetsbaarheid ook bij de waargenomen aanvallen is gebruikt laat Hawkes niet weten. Vorig jaar werd een zerodaylek in Chrome nog gecombineerd met een kwetsbaarheid in Windows om zo Windows 7-gebruikers met malware te infecteren. Begin dit jaar patchte Google ook al een actief aangevallen zeroday in Chrome. Updaten naar Chrome 86.0.4240.111 zal op de meeste systemen automatisch gebeuren.

Reacties (2)
21-10-2020, 08:32 door Anoniem
22:58 Google dicht actief aangevallen zeroday-lek in Chrome
19:13 Amerikaanse overheid klaagt Google aan voor machtsmisbruik

Ja, want als je de regels van het spel aanpast tijdens de tweede ronde, dan spelen wij niet meer mee.
22-10-2020, 15:36 door Anoniem
Door Anoniem: 22:58 Google dicht actief aangevallen zeroday-lek in Chrome
19:13 Amerikaanse overheid klaagt Google aan voor machtsmisbruik

Ja, want als je de regels van het spel aanpast tijdens de tweede ronde, dan spelen wij niet meer mee.

Wat bedoel je hiermee dan? Dat Google wordt aangeklaagd voor machtsmisbruik is totaal irrelevant hier.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.