Google Chrome dicht alweer een kritiek lek in ANGLE
Slechts één week geleden bracht Google al een belangrijke beveiligingsupdate uit voor een lek in het Dawn-protocol. Ditmaal lost de zoekgigant een bug op in de ANGLE-engine in Chrome, die WebGL- en OpenGL-content uitvoert. Het beveiligingslek, geregistreerd onder CVE-2024-7532, stelt hackers in staat code uit te voeren op de computer van het slachtoffer. De gebruiker hoeft hier niets voor te doen: het bezoeken van een besmette webpagina of een gevaarlijke advertentie is voldoende.
Het betreft een zogeheten drive-by-download, waardoor de kwaadaardige download onopgemerkt blijft. Pas wanneer de aanvaller zichzelf toegang verschaft tot het systeem en zijn malware activeert, merken gebruikers dat er iets aan de hand is. Naast het stelen van data, kunnen aanvallers ook je computer overnemen om deze voor andere doeleinden te gebruiken.
Opvallend is dat Google eerder dit jaar ook al kampte met kwetsbaarheden in ANGLE. Tweemaal zelfs: in zowel maart als april verschenen er al bugoplossingen voor kwetsbaarheden in de engine. Waardoor het kan gebeuren dat er continu vergelijkbare kwetsbaarheden opduiken in ANGLE, is niet bekend. Chrome is overigens niet de enige browser die vertrouwt op de ANGLE-engine; ook Firefox maakt gebruik van de software.
Chrome-update onderweg
Google zegt reeds een update voor Chrome te hebben uitgebracht die het lek in ANGLE dicht. Deze verschijnt binnen 30 dagen op systemen met Linux, macOS en Windows, met versienummer 127.0.6533.99. Chrome op Android hoeft niet gepatcht te worden: daarop wordt de ANGLE-transitielaag namelijk niet gebruikt. Wie een systeem met Linux, macOS of Windows bezit, kan Chrome ook direct updaten door handmatig naar updates te zoeken in de webbrowser.
Wie meer wil weten over de kwetsbaarheid zelf, zal nog even moeten wachten. Pas zestig dagen na de start van de uitrol vertelt Google daar meer over. Dan wordt ook meer bekend over eventuele gevallen van misbruik.
