Google heeft een beveiligingsupdate voor Chrome 87 uitgebracht die meerdere kwetsbaarheden in de browser verhelpt. De impact van de beveiligingslekken is door het techbedrijf als 'high' bestempeld. Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

De beveiligingslekken zijn aanwezig in verschillende onderdelen van de browser, waaronder het automatisch invullen, drag & drop, betalingen, safe browsing en de code voor het afspelen van media en audio. Hierdoor kan een aanvaller een zogeheten 'use-after-free' veroorzaken en willekeurige code binnen de browser uitvoeren. De beveiligingslekken zijn op zichzelf niet genoeg om het onderliggende systeem over te nemen. Verdere details zijn niet door Google bekendgemaakt.

Vier van de kwetsbaarheden werden ontdekt door beveiligingsonderzoeker Guang Gong van securitybedrijf 360 Alpha Lab. Google betaalt onderzoekers voor het melden van kwetsbaarheden. Voor acht van de gemelde en nu verholpen beveiligingslekken betaalde het techbedrijf in totaal een beloning van 111.000 dollar. Updaten naar Chrome 87.0.4280.141 zal op de meeste systemen automatisch gebeuren.