Zesde keer, goede keer: Google dicht nieuwe zeroday in Chrome
Google stuurt regelmatig updates voor zijn Chrome-browser uit. Dat is nodig: dikwijls worden er kwetsbaarheden ontdekt die Google zo snel mogelijk weer probeert te remediëren. Met de laatste browserupdate lost het bedrijf een nieuw zeroday-beveiligingslek op.
Voor wie een déjà-vugevoel overhoudt aan dat gegeven: dat valt goed te verstaan. Het is namelijk al de zesde keer sinds het begin van dit jaar dat Google zo’n kwetsbaarheid oplost. Dat is belangrijk: bij zeroday-lekken gaat het namelijk om lekken die sinds ‘dag 0’ in de software zitten. Dat geeft cybercriminelen uitgebreid de kans om de kwetsbaarheid zelf te ontdekken en eventueel te misbruiken. Dat lijkt in dit geval ook daadwerkelijk gebeurd te zijn: Google meldt namelijk dat het weet heeft van een exploit die dit veiligheidsprobleem misbruikt.
Out-of-bounds
De kwetsbaarheid wordt CVE-2024-4761 genoemd. Het gaat om een zogenaamd ‘out-of-bounds’-probleem in de JavaScript-engine van de Chrome-browsers. Bij zulke veiligheidslekken kunnen sites als het ware je browser kapen door slechte JavaScript-code aan te leveren. Bij het uitvoeren van die JS-code worden gegevens naar een zogenaamde ‘buffer’ geschreven. Alleen: in dit geval raakt die buffer vol, waardoor ook aangrenzende geheugenlocaties overschreven worden. Dat kan problemen veroorzaken voor de werking van de browser: wat er op die locaties staat, heeft die namelijk even goed nodig om te functioneren.
Behalve dat de browser daardoor kan crashen, maakt het veiligheidslek het ook mogelijk om code uit te voeren of om data in te zien. Om die reden herstelt Google het veiligheidslek dan ook met een nieuwe update.
Update installeren
Om die update te installeren hoef je zelf niets te doen. Google downloadt en installeert de Chrome-updates automatisch als je de browser geopend hebt. Je kan de update wel handmatig forceren door naar de browserinstellingen te navigeren. Daar klik je op het tabblad ‘Over Chrome’, waar je de browser opnieuw kan opstarten nadat de update gedownload is. Op Windows en Mac is de meest recente en veilige versie die met nummer 124.0.6367.207/.208. Draai je Linux? Dan is de meest recente release versie 124.0.6367.207.