Google heeft een nieuwe versie van Chrome uitgebracht waarin twee kwetsbaarheden zijn verholpen waarvoor exploits op internet zijn te vinden. Eén van de kwetsbaarheden werd vorige week tijdens de Pwn2Own-hackwedstrijd gedemonstreerd. De impact van beide beveiligingslekken is door Google als "high" bestempeld.

Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel van alleen een high-kwetsbaarheid te compromitteren. Hiervoor is een tweede beveiligingslek vereist.

Patch gap

Kwetsbaarheid CVE-2021-21220 is aanwezig in de V8 JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Dit lek werd kort na de Pwn2Own-wedstrijd in de V8-engine gepatcht, maar de oplossing was nog niet doorgevoerd in Chrome, wat ook wel een "patch gap" wordt genoemd. Er is sprake van een patch gap wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. Iets waar ook Google Chrome in het verleden vaker mee te maken kreeg.

Aan de hand van de aanpassingen die binnen V8 waren doorgevoerd kon een beveiligingsonderzoeker de kwetsbaarheid achterhalen en een exploit ontwikkelen, die hij vervolgens openbaar maakte. Ook in het geval van CVE-2021-21206 is een exploit online, maar details hierover ontbreken. Dit beveiligingslek, dat door een anonieme onderzoeker aan Google werd gerapporteerd, is aanwezig in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent.

Updaten naar Chrome 89.0.4389.128 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren.