Skip to main content

Google lanceert veiligheidsupdate voor Chrome om gevaarlijke bug te patchen

Google Chrome
(Image credit: Shutterstock)

Google heeft een update voor zijn Chrome-webbrowser uitgerold en lost daarmee een hoop veiligheidsproblemen op. Wat opvalt, is dat de nieuwe versie van Chrome 86.0.4240.111 een patch bevat voor een recent ontdekte zero-day-dreiging.

De veiligheidsbug, vermeld als CVE-2020-15999, is een geheugencorruptie-kwetsbaarheid en zal weinig verrassend zijn voor mensen met kennis van het veiligheidslandschap van Chrome. Volgens intern onderzoek van Google zijn 70 procent van alle serieuze veiligheidsbugs bij Chrome geheugen gerelateerd. Onderzoekers van Microsoft kwamen met gelijkaardige cijfers op de proppen. 

Deze keer maakte de gepatchte dreiging gebruik van een kwetsbaarheid bij de renderingsbibliotheek van het FreeType-lettertype, die verpakt zit in Chrome. De veiligheidsbug werd ontdekt door het interne Project Zero-team van Google, nadat gebruikers van Chrome het doelwit werden van cyberaanvallen.

Een essentiële update

Chrome-gebruikers blijven beschermd door te updaten naar de laatste versie van de browser, maar andere individuen blijven misschien gevaar lopen. Andere softwareoplossingen die gebruik maken van de FreeType-bibliotheek kunnen nog steeds een doelwit worden, daarom adviseert Google gebruikers om de laatste versie van FreeType te downloaden en zo de patch binnen te halen.

"Project Zero ontdekte en rapporteerde een actief uitgebuite zero-day in FreeType die werd gericht op Chrome", tweette teamleider Ben Hawkes van Project Zero. "Ook al zagen we enkel een dreiging voor Chrome, ook andere gebruikers van FreeType zouden deze oplossing moeten gebruiken."

Het is belangrijk dat online gebruikers de patch zo snel mogelijk downloaden, omdat kwaadwillende actoren - zelfs zij die voorheen nog niet op de hoogte waren van de kwetsbaarheden - toch kunnen beslissen om toe te slaan. Aangezien FreeType open-source is, blijft de standaard patch online beschikbaar en zou deze door cyberaanvallers kunnen worden aangepast om zo hun eigen manieren te vinden om het uit te buiten.

Via: ZDNet