Google heeft een nieuwe versie van Chrome uitgebracht waarin meerdere kwetsbaarheden zijn verholpen, waaronder een beveiligingslek in de downloadfunctie van de browser. In totaal behoren met Chrome 88.0.4324.182 voor Linux, macOS en Windows tien kwetsbaarheden tot het verleden.

Het gaat onder andere om een "use after free" in het downloadonderdeel van Chrome en een stack overflow in het onderdeel dat voor de uitwisseling van data verantwoordelijk is. Hierdoor kan een aanvaller willekeurige code binnen de browser uitvoeren. De kwetsbaarheden alleen zijn niet voldoende om systemen over te nemen. Google beoordeelde de impact van de beveiligingslekken met het label "high".

Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

De onderzoekers die de twee beveiligingslekken rapporteerden kregen hiervoor elk 20.000 dollar. Verdere details zijn niet door Google gegeven. De onderzoeker die de kwetsbaarheid in de downloadfunctie aantrof vermoedt dat het probleem al twee jaar in de browser aanwezig was. Updaten naar de nieuwste versie van Chrome zal op de meeste systemen automatisch gebeuren.