Google brengt Chrome-update uit die actief misbruikt lek in V8-engine oplost

Google heeft een beveiligingsupdate voor zijn Chrome-browser uitgebracht. Deze update lost vijf kwetsbaarheden op, waaronder een use-after-free-kwetsbaarheid in de Chrome V8-engine die actief wordt misbruikt.

De kwetsbaarheden zijn opgelost in Chrome-versie 96.0.4664.110 voor desktops, die 'in de komende dagen of weken' wordt uitgerold voor Windows, macOS en Linux. De update wordt uitgebracht in de stable- en extended stable-kanalen van Chrome. Tweakers kon de update direct installeren in de Chome-instellingen, onder 'Help' en 'Over Google Chrome'.

De kwetsbaarheid die is opgelost, wordt aangeduid als CVE-2021-4102. Momenteel is de CVE-pagina nog gereserveerd en staan er nog geen concrete details online. Google meldt in de patchnotes wel dat het een bug in de Chrome V8-engine betreft, die op donderdag 9 december werd gemeld aan Google. Het is de zestiende Chrome-kwetsbaarheid die Google dit jaar oplost.

CVE-2021-4102 betreft volgens Google een use-after-free-kwetsbaarheid. Daarbij wordt incorrect gebruikgemaakt van vrijgemaakt dynamisch geheugen. Dat kan leiden tot datacorruptie en kan het ook mogelijk maken om willekeurige code uit te voeren. Google publiceert verder geen details, maar meldt een 'hoog' risiconiveau, zonder verdere toelichting. Het bedrijf geeft aan details over bugs achter te houden totdat de meeste gebruikers de update hebben geïnstalleerd. Het bedrijf schrijft wel dat het op de hoogte is dat een exploit voor deze kwetsbaarheid 'in het wild bestaat'.

Google lost ook vier andere kwetsbaarheden op in de nieuwe Chrome-update, waaronder CVE-2021-4098. dat betreft een 'insufficient data validation'-bug in Mojo, die wordt aangeduid met een 'kritieke' risicoscore. De bug werd door een medewerker van Google Project Zero gemeld op 26 oktober. Ook hierover zijn nog weinig concrete details bekend. Verder lost de update een andere use-after-free en een heap buffer overflow op in Swiftshader, naast een object-lifecycle-probleem in Angle.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 14-12-2021 12:16
24 • submitter: Dannyvrf

14-12-2021 • 12:16

24

Submitter: Dannyvrf

Lees meer

Google waarschuwt voor ongepatchte rce-kwetsbaarheden in Samsung Exynos-modems
Google waarschuwt voor ongepatchte rce-kwetsbaarheden in Samsung Exynos-modems Nieuws van 17 maart 2023
Google repareert actief misbruikte kwetsbaarheid in Chrome
Google repareert actief misbruikte kwetsbaarheid in Chrome Nieuws van 15 februari 2022
Bug in pkexec maakt privilege escalation op meeste Linux-distro's mogelijk
Bug in pkexec maakt privilege escalation op meeste Linux-distro's mogelijk Nieuws van 26 januari 2022
Gebruikers iOS 15 melden dat Google Chrome crasht bij openen
Gebruikers iOS 15 melden dat Google Chrome crasht bij openen Nieuws van 7 januari 2022
Edge probeert met pop-up gebruikers van Chrome af te houden
Edge probeert met pop-up gebruikers van Chrome af te houden Nieuws van 3 december 2021
Hacker publiceert Windows-zeroday na slecht werkende patch van Microsoft
Hacker publiceert Windows-zeroday na slecht werkende patch van Microsoft Nieuws van 23 november 2021
Chrome OS krijgt lts-versie met stabiele releases om de zes maanden
Chrome OS krijgt lts-versie met stabiele releases om de zes maanden Nieuws van 17 november 2021
Google brengt Chrome 96 uit met cachefunctie voor sneller navigeren
Google brengt Chrome 96 uit met cachefunctie voor sneller navigeren Nieuws van 15 november 2021
Google beëindigt de ondersteuning voor Chrome-synchronisatie in Chrome 48
Google beëindigt de ondersteuning voor Chrome-synchronisatie in Chrome 48 Nieuws van 8 november 2021
Google verwijdert ftp definitief uit Chrome
Google verwijdert ftp definitief uit Chrome Nieuws van 21 oktober 2021
Google dicht voor derde keer in maand tijd actief misbruikte lekken in Chrome
Google dicht voor derde keer in maand tijd actief misbruikte lekken in Chrome Nieuws van 1 oktober 2021
Kwetsbaarheid in Apache OpenOffice maakt uitvoeren code op afstand mogelijk
Kwetsbaarheid in Apache OpenOffice maakt uitvoeren code op afstand mogelijk Nieuws van 21 september 2021
Google dicht tiende zerodaylek in Chrome in 2021
Google dicht tiende zerodaylek in Chrome in 2021 Nieuws van 14 september 2021
Chrome-team werkt aan cache-implementatie die navigeren flink moet versnellen
Chrome-team werkt aan cache-implementatie die navigeren flink moet versnellen Nieuws van 28 februari 2019
Meer producten en artikelen
Beveiliging en antivirus Browsers Bugs

Reacties (24)

-Moderatie-faq
24
24
13
1
0
3
Wijzig sortering
Wouterie 14 december 2021 14:40
Ok, ik snap dat Google Chrome de meest gebruikte Chromium browser is, maar moeten we hier op Tweakers niet vermelden dat het een bug is voor de V8 engine van Chromium? Aangezien V8 is ontwikkeld door 'the Chromium Project' is het onvolledig om het over Google Chrome te hebben. We zitten hier immers niet op nu.nl.
P_Tingen @Wouterie15 december 2021 10:23
Asking the real questions. Ik zat me ook al af te vragen of dat ook voor Edge zou gelden aangezien die ook van de Chromium engine gebruik maakt, net als meer browsers.
BrBuggyB 14 december 2021 12:24
Moet Edge nu ook een update krijgen, omdat die ook op de Chrome engine draait?
418O2 @BrBuggyB14 december 2021 12:35
Ja, voor zover ik kan lezen gebruikt die ook de v8 engine

[Reactie gewijzigd door 418O2 op 23 juli 2024 01:15]

Bux666 @BrBuggyB14 december 2021 12:38
Edge is gebasseerd op Chromium. Hieronder valt ook de V8 JavaScript Engine van Google. Dit zou door Microsoft in een nieuwe build geüpdate moeten worden ja.
ArmEagle @BrBuggyB14 december 2021 13:44
Oh ik had mijn top level post ook hier onder kunnen plaatsen; ArmEagle in 'nieuws: Google brengt Chrome-update uit die actief misbruikt lek...
(een relatieve link mag helaas niet)

[Reactie gewijzigd door ArmEagle op 23 juli 2024 01:15]

Mayonaise @BrBuggyB14 december 2021 20:41
NodeJS ook vermoed ik, draait ook op de V8 Engine.
ArmEagle 14 december 2021 13:42
Microsoft heeft gisteren (13 december) een update geplaatst voor Edge:
Microsoft is aware of the recent exploit existing in the wild. We are actively working on releasing a security patch as reported by the Chromium team.
Dus dat is nog even wachten.
Daoka @ArmEagle14 december 2021 15:49
Google brengt Chrome-update uit die actief misbruikt lek in V8-engine oplost
Kopje van de artikel ;). En ja andere browsers hebben er ook last van. ArmEagle heeft ook al een reactie geven dat Edge bezig is met een update. Dus Chrome heeft een update gehad en Edge nog niet. Volgens mij lijkt het dus gewoon goed dat ze het alleen over Chrome hebben. Al had er inderdaad iets meer over gezegd kunnen worden.
ArmEagle @Daoka14 december 2021 20:28
Dat laatste is precies waarom ik dit hier deelde. Ik vind dat een tech-website zelf even die extra stap zou moeten zetten. Je bent toch je lezers aan het informeren, of niet?
Daoka @ArmEagle15 december 2021 00:05
Wij vinden het misschien wel. Een ander vind het misschien overbodig want de artikel gaat over Chrome. En sinds dat het probleem in de engine zit snappen ze dat bijvoorbeeld edge ook een update nodig heeft. En aangezien die er nog niet is heeft het geen zin om te melden dat het er niet is.

Zo heb ik vaker berichten gezien dat men meer informatie had moeten geven zoals uitleg wat iets is. Doen ze het wel krijgen ze weer commentaar dat het irritant is en dat dit Tweakers is en mensen die informatie ook zelf had kunnen zoeken. Het is dus soms gewoon moeilijk in te schatten waar de grens ligt lijkt me. Of te bedenken dat er andere onderdelen zijn als je gefocust ben op 1 onderwerp.
Wouterie @Daoka15 december 2021 10:32
Ik ben van mening dat het best wat zorgvuldiger kan. Ik gebruik zo min mogelijk producten van Google en weet dat Google Chrome nogal een aangepaste Chromium variant is. Wat Google allemaal uitspookt met hun browser moeten ze lekker zelf weten. De kop verklapt pas op het eind dat het niet alleen Google Chrome betreft en dat vind ik voor Tweakers toch behoorlijk onder de maat. We zitten, zoals eerder gezegd, niet op nu.nl.
Robtimus 14 december 2021 12:33
De kwetsbaarheden zijn opgelost in Chrome-versie 96.0.4664.110 voor desktops, die 'in de komende dagen of weken' wordt uitgerold voor Windows, macOS en Linux
Ik kreeg hem vanmorgen al aangeboden, dus ze zijn er sneller mee dan ze zelf zeggen.
jaapzb @Robtimus14 december 2021 17:59
Uitrol doen ze vaak over een bepaalde periode, niet iedereen krijgt de update op hetzelfde moment
egelalexander 14 december 2021 12:47
Bij mij ging hij pas updaten op het moment dat ik bij help op 'over Google Chrome' klik. Werkt dit anders dan bij bijvoorbeeld Firefox waarbij je een update melding krijgt als je hem start? Of installeert hij hem uiteindelijk toch automatisch, zou dat wel prettig vinden bij grotere issues als deze.
RienBijl @egelalexander14 december 2021 12:58
Over het algemeen draait Chrome zijn updates automatisch, zonder interventie van de gebruiker.
KaWouterplop 14 december 2021 12:24
Nooit geweten dat er ook auto monteurs rondlopen bij Google
Gohan040 @KaWouterplop14 december 2021 12:36
Ik mis soms toch wel een +1 humor knop of iets dergelijks. Ik moest wel even lachen :)
FairPCsPlease @Gohan04014 december 2021 12:48
Ja, dat was mijn gedacht ook toen ik de titel las: draait de Chrome-browser op een benzinemotor :+ ?
mr.koen @FairPCsPlease14 december 2021 12:53
Ho ho ho.. er zijn ook weldegelijk v8 diesels!
mikesmit @mr.koen14 december 2021 13:23
Motoren zijn er in alle vormen en maten. Laatst was ik voor me werk op een locatie waar een 20L v20 diesel aggregaat stond ;)
prodesk @FairPCsPlease14 december 2021 13:19
Haha, hier dacht ik ook aan.
_Pussycat_ @Gohan04014 december 2021 13:41
Vroeger was die er, ik meen idd +1 humoristisch. Jammer dat hij weg is.
hansvo286 15 december 2021 05:01
Heb Chrome browser verwijderd ieder keer vast na 1 a 2 minuten sloot Crome zich af en konik weer verder met hestel optie gebruik nu Firefox en Opera totaal geen last meer

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq