Google heeft zijn Chrome-browser een update gegeven om twee beveiligingsproblemen te verhelpen. Een van de twee kwetsbaarheden wordt actief misbruikt. Criminelen kunnen hiermee binnen de browser verhoogde rechten verkrijgen om systemen binnen te kunnen dringen.
Het gaat om twee kwetsbaarheden waarvan Google de ernst als 'hoog' heeft geschat. De kwetsbaarheid met aanduiding CVE-2019-13721 betreft een use-after-free-probleem in PDFium, gevonden door iemand met de alias banananapenguin. PDFium is Googles opensourceproject voor het weergeven en tonen van printpreviews van pdf's in Chrome.
De tweede kwetsbaarheid is gevonden door twee medewerkers van Kaspersky en betreft eveneens use-after-free, maar 'in audio'. Het is deze kwetsbaarheid, met aanduiding CVE-2019-1372, waarvan Google aanwijzingen heeft ontvangen dat misbruik in de praktijk al plaatsvindt.
Use-after-freekwetsbaarheden betreffen problemen die manipulatie van data in het geheugen mogelijk maken, waardoor aanvallers hun rechten binnen software kunnen verhogen. Bij Chrome opent dit de weg om doelwitten een gemanipuleerde site te laten bezoeken, zo rechten te verwerven om uit Chromes afgeschermde sandbox te komen en vervolgens code te kunnen uitvoeren om systemen waarop de browser draait, bijvoorbeeld over te nemen.
Details geeft Google niet vrij 'totdat een meerderheid van de gebruikers een update met een fix heeft uitgevoerd'. Het bedrijf dichtte in maart ook al zerodaykwetsbaarheden. Toen had Google aanwijzingen dat deze als onderdeel van een keten van exploits werden misbruikt om aanvallen via Chrome uit te voeren. De update van nu brengt de buildversie naar Chrome 78.0.3904.87. Standaard ontvangen gebruikers deze automatisch.