Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt

Google heeft een ernstige use-after-free-kwetsbaarheid in zijn Chrome-browser gedicht. Er is een exploit voor de zeroday-kwetsbaarheid in omloop. Google raadt gebruikers aan zo snel mogelijk te updaten naar de laatste versie van de browser.

De use-after-free-kwetsbaarheid zit in de FileReader van Chrome, een web-api die sites de mogelijkheid geeft bestanden op het systeem van een gebruiker te benaderen. Use-after-free-kwetsbaarheden betreffen geheugencorruptie-bugs die te misbruiken zijn via browser-aanvallen. Bij de Chrome-kwetsbaarheid CVE-2019-5786 is het gevaar dat aanvallers een speciale website opzetten om geheugen op het systeem van een slachtoffer via de FileReader-api te benaderen en uiteindelijk willekeurig code uit te kunnen voeren.

Google adviseert gebruikers te updaten naar Chrome-versie 72.0.3626.121 voor Windows, Mac, Linux en Android. Google kondigde die versies vorige week vrijdag al aan, met de mededeling dat er een enkel beveiligingsprobleem was verholpen. In een update verduidelijkt het bedrijf dat er een exploit in het wild is aangetroffen en kwaadwillenden zich dus actief richten op misbruik van de kwetsbaarheid.

Justin Schuh van het beveiligingsteam van Google Chrome spreekt overigens van een keten van zerodays die Google aantrof, waardoor het mogelijk om een gecombineerde exploit gaat, bijvoorbeeld om aan de sandbox van Chrome te ontsnappen, wat de ernst van potentiële aanvallen zou vergroten. Schuh adviseert per direct te updaten.