Google heeft voor de derde keer in drie weken tijd actief aangevallen zerodaylekken in de desktopversie van Chrome gepatcht. In tegenstelling tot de zerodays die op 20 oktober en 2 november werden gepatcht zijn de nieuwste twee kwetsbaarheden niet door Google zelf ontdekt.

De zerodaylekken, aangeduid als CVE-2020-16013 en CVE-2020-16017, bevinden zich in de V8 JavaScript-engine, die wordt gebruikt voor het uitvoeren van JavaScript, en de site isolation-beveiligingsfeature van de browser. Site Isolation zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites.

De twee kwetsbaarheden zijn door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. De beveiligingslekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

De twee zerodaylekken die Google op 2 november patchte bevonden zich ook in de V8 JavaScript-engine, net als een zerodaylek waarvoor Google eind februari een beveiligingsupdate uitbracht. Google heeft geen verdere details over de nu verholpen kwetsbaarheden gegeven. Gisteren liet Vice Magazine op basis van een bron weten dat er een relatie tussen de zerodays van de afgelopen weken zit, maar exacte details zijn onbekend. De beveiligingslekken zijn verholpen in Chrome 86.0.4240.198. Op de meeste systemen wordt de update automatisch geïnstalleerd.

Gevonden zerodays in Google Chrome in 2020

• CVE-2020-6418
• CVE-2020-15999
• CVE-2020-16009
• CVE-2020-16010
• CVE-2020-16013
• CVE-2020-16017