Nog een week geleden, Google heeft een incrementele update uitgerold voor de Chrome Desktop-browser die een aantal cruciale beveiligingen bevatte updates. In die update onthulde het Chrome-ontwikkelaarsteam dat een van de kwetsbaarheden actief in het wild was uitgebuit. Wanneer dit gebeurt, wordt dit een Zero-Day-exploit genoemd, omdat de softwareontwikkelaars voorafgaand aan de aanval niet op de hoogte waren van de zwakte. De nieuwste update van de Chrome-browser bevat slechts 4 beveiligingspatches, maar elk van de vier is gemarkeerd als”hoog”, wat betekent dat het essentiële updates zijn. Een van de patches bevat een oplossing voor een kwetsbaarheid waarvan Google heeft bevestigd dat deze in het wild is misbruikt.
De bug, CVE-2021-30554, is gemeld door een anonieme bron en de premie voor de vondst moet nog worden bepaald. Google weigerde details te geven over hoe de bug precies werd uitgebuit. Dat geeft gebruikers waarschijnlijk voldoende tijd om de browser te updaten om verdere aanvallen te voorkomen. Deze specifieke bug is gerelateerd aan WebGL en is geïdentificeerd als een”user after free”kwetsbaarheid. Wat betekent dat? Hier volgt een korte uitleg van wat dat betekent.
Advertenties
Use After Free verwijst specifiek naar de poging om toegang te krijgen tot geheugen nadat het is vrijgemaakt, waardoor een programma kan crashen of, in het geval van een Use-After-Free-fout, kan leiden tot het uitvoeren van willekeurige code of zelfs het inschakelen van volledige mogelijkheden voor het uitvoeren van code op afstand.
Onnodig te zeggen dat het waarschijnlijk een goed idee is om door te gaan en ervoor te zorgen dat uw Chrome-browser up-to-date is. De nieuwste versie die de oplossing voor deze bug bevat, is 91.0.4472.114. Als u Chrome gebruikt op Windows, Linux of macOS, ga dan naar het gedeelte over Chrome in het instellingenmenu en controleer op een update. Als mijn berekening klopt, is dit de zevende bekende zero-day exploit voor de Chrome-browser dit jaar. Gelukkig lijkt het erop dat het zeer snel werd ontdekt en gepatcht. Hieronder vindt u de vier beveiligingspatches en de bijbehorende CVE-toewijzing.
- [$TBD][1219857 ] Hoog CVE-2021-30554: gebruik daarna gratis in WebGL. Gemeld door anoniem op 2021-06-15
- [$10000][1215029] Hoog CVE-2021-30555: gebruik daarna gratis in Sharing. Gemeld door David Erceg op 01-06-21
- [$7500][1212599] Hoog CVE-2021-30556: gebruik daarna gratis in WebAudio. Gemeld door Yangkang (@dnpushme) van 360 ATA op 2021-05-24
- [$10000][ 1202102] Hoog CVE-2021-30557: gebruik daarna gratis in TabGroups. Gemeld door David Erceg op 2021-04-23
Bron: Chrome-release
Advertenties
