Kritieke Chrome-bug opgelost, dit moet je weten
Om de aanval te laten slagen hoeft de gebruiker zelf niets te doen. Een bezoek aan een besmette website of het bekijken van geïnfecteerde advertenties is al voldoende om de kritieke kwetsbaarheid te misbruiken. Aanvallers kunnen via het lek (CVE-2024-2883) op afstand code uitvoeren in Chrome én mogelijk ook systemen overnemen via lokale aanvallen.
Google zegt dat het lek zich bevindt in ANGLE, dat verantwoordelijk is voor de werking van WebGL- en OpenGL-content. Intussen heeft Google hiervoor al wel een update uitgebracht. Verwacht wordt dat deze binnen 30 dagen bij alle gebruikers kan worden geïnstalleerd. Nadere informatie over de werking van het lek is daarom nog niet vrijgegeven.
Pwn2Own-hackersconferentie
Google dicht ditmaal ook een kwetsbaarheid in Chrome die aan het licht kwam tijdens de Pwn2Own-hackersconferentie. In tegenstelling tot de eerdergenoemde kritieke bug wordt CVE-2024-2883 lager ingeschaald. Het lek, dat ontdekt werd door beveiligingsonderzoeker Manfred Paul, maakt het enkel mogelijk om kwaadaardige code in Google Chrome uit te voeren.
Paul verdiende tijdens Pwn2Own een forse vergoeding voor zijn ontdekkingen. Naast het Chrome-lek ontdekte de onderzoeker ook kwetsbaarheden in Edge, Firefox en Safari. In totaal ontving Paul 202.500 euro voor alle ingediende kwetsbaarheden.
Updates voor Linux, macOS en Windows
Chrome zegt reeds diverse updates te hebben uitgerold naar Linux, macOS en Windows. Op Linux ontvangen Chrome-gebruikers versie 123.0.6312.86, terwijl voor macOS Chrome-versie 123.0.6312.86 klaarstaat. Het duurt enkele dagen voordat de beveiligingsupdate automatisch naar alle Chrome-gebruikers wordt uitgerold. Het is ook mogelijk om handmatig te controleren op updates. De beveiligingspatch wordt dan meteen geïnstalleerd.