Google heeft twee zerodaylekken in Chrome verholpen die actief zijn gebruikt om gebruikers van de browser aan te vallen. Twee weken geleden bracht Google ook al een update uit voor een ander zerodaylek. De twee kwetsbaarheden, CVE-2020-16009 en CVE-2020-16010, bevinden zich in de V8 JavaScript-engine van de browser.

CVE-2020-16009 is aanwezig in de desktopversie van Chrome en maakt volgens Ben Hawkes van Google remote code execution mogelijk. Google heeft de kwetsbaarheid als "high" bestempeld, wat inhoudt dat een tweede kwetsbaarheid is vereist om code op het onderliggende systeem uit te voeren. Kwetsbaarheden met een "high" impact maken het op zichzelf mogelijk om data van andere websites te kunnen lezen of aanpassen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

In het geval van CVE-2020-16010 betreft het ook een kwetsbaarheid met de beoordeling "high". Het gaat om een heap buffer overflow in de user interface van Chrome voor Android. Via het beveiligingslek is het mogelijk om uit de sandbox van Chrome te ontsnappen. Wederom is er een tweede kwetsbaarheid nodig om code op het onderliggende systeem uit te voeren.

Verdere details over de kwetsbaarheden en waargenomen aanvallen zijn niet door Google gegeven, behalve dat het om "targeted exploitation" gaat. Gebruikers krijgen het advies om te updaten naar Chrome 86.0.4240.183 voor macOS, Linux en Windows en Chrome 86.0.4240.185 voor Android. Op de meeste systemen zal dit automatisch gebeuren. Naast de drie zerodaylekken van de afgelopen twee weken verhielp Google eind februari ook een zerodaylek in de browser.