Google lost actief misbruikt veiligheidslek in Chrome op met update
Onlineveiligheid is een voortdurend kat-en-muisspel tussen softwarefabrikanten en cybercriminelen. Dat is ook het geval voor Google Chrome, waar Google voor de vijfde keer op een jaar tijd een lek dicht dat actief misbruikt werd.
Browser gehijackt
De kwetsbaarheid wordt CVE-2024-4671 genoemd, en speelt in op de visuele aspecten van de browser. Wanneer je ergens een weblink opent, moet Chrome de content daarachter ‘renderen’, zodat je hem te zien krijgt. De kwetsbaarheid weet zich daartussen te wurmen. Om visuals weer te geven is namelijk wat rekenwerk vereist, en net daar maakt de kwetsbaarheid misbruik van.
Om dat rekenwerk tot een goed einde te brengen, wordt met zogenaamde ‘pointers’ gewerkt. Die verwijzen naar informatie die kortstondig op je RAM opgeslagen staat. Die data is vrij snel weer weg, zodat er andere zaken ingeladen kunnen worden. Het probleem bij Chrome is dat die ‘pointer’ wel blijft werken. Die verwijst nog steeds naar een bepaald ‘adres’ in het RAM, alleen zit daar nu een heel ander stuk informatie achter.
Dat kunnen verschillende dingen zijn. Het zou bijvoorbeeld om gevoelige data kunnen gaan, maar ook om code die dan automatisch uitgevoerd wordt. Dat is een serieus veiligheidsrisico, dat hoogstwaarschijnlijk ook uitgebuit werd. Met de laatste update voor Chrome zorgt Google ervoor dat het veiligheidslek gedicht wordt, zodat gebruikers weer veilig kunnen internetten.
Update installeren
Die update voor Google Chrome installeert zichzelf zodra je de browser opent, waardoor je er zelf dus niets voor hoeft te doen. Je kan controleren op welke versie van Chrome je zit door in de instellingen naar de ‘Over Chrome’-sectie te navigeren. Daar staat het versienummer vermeld en kan je eventuele updates ook handmatig downloaden en installeren.
De oplossing voor dit veiligheidsprobleem is meteen beschikbaar op alle platformen. Voor Linux, Mac en Windows gaat het om versies 124.0.637.201 en -.202. De update bevat voor de rest geen belangrijke wijzigingen, maar dient specifiek om dit veiligheidslek te dichten.