Google repareert actief misbruikte kwetsbaarheid in Chrome

Google heeft een beveiligingsupdate voor zijn Chrome-browser uitgebracht. Deze update bevat elf beveiligingsfixes, waaronder een patch voor een kwetsbaarheid die volgens Google actief wordt misbruikt.

De kwetsbaarheden zijn opgelost in Chrome-versie 98.0.4758.102 voor Windows, macOS en Linux, die 'de komende dagen of weken' wordt uitgerold. De update wordt uitgebracht in de stable- en extendedstablekanalen van Chrome. Gebruikers kunnen de update direct installeren via de browserinstellingen, onder 'Help' en 'Over Google Chrome'.

De zeroday die is opgelost, wordt aangemerkt als CVE-2022-0609 en krijgt een 'hoog' risiconiveau. De bug werd op 10 februari ontdekt. De kwetsbaarheid wordt omschreven als een use-after-free in het animatiedeel van Chrome. Dergelijke kwetsbaarheden kunnen leiden tot datacorruptie en kunnen het ook mogelijk maken om willekeurige code uit te voeren. Google deelt geen concrete details over de kwetsbaarheid. Volgens het bedrijf wordt dergelijke informatie achtergehouden totdat een meerderheid van de gebruikers de update heeft doorgevoerd.

Verder lost de update nog een aantal use-after-free-bugs op die allemaal ook een 'hoge' risicoscore krijgen. De techgigant maakt ook melding van een integeroverflow in Mojo en een incorrecte implementatie van de gamepad-api. Ook over deze bugs deelt Google verder geen details.

Reacties (20)

himlims_ 15 februari 2022 13:47

is het hele idee van chromos niet dat de gebruiker zich daar juist niet druk over hoeft te maken; dat deployen van updates gaat toch geautomatiseerd?

Magic Power @himlims_ • 15 februari 2022 13:54

Chrome != Chrome-OS

Het hele idee van Chrome-OS is dat het hele OS een webbrowser is, en *alle apps zijn webapps/websites. Zodra de website aan de serverkant wordt geupdate om bugs aan te pakken, heeft Chrome-OS die fixes dus ook voor die websites.

Het *enigste wat lokaal draait, is de browser. En die wordt wel geupdate als er nieuwe versies ervan zijn.

* = Volgens mij kan Chrome-OS ook Android apps draaien, en eventueel andere apps, maar daar heb ik niet genoeg kennis van om dat volop te kunnen zeggen.

beerse @himlims_ • 15 februari 2022 14:05

Voor zover ik kan zien is ChromeOS zo ongeveer een linux onderbouw met daar binnen/boven Chrome en daar naast nog het een en ander. Zo ook ChromiumOS en Chroumium.

Met dat het hier een issue in Chrome is en ook betrekking heeft op de linux implementatie, verwacht ik ook een patch/update van ChromeOS.

Met dat Chromium niet is genoemd, ga ik er van uit dat het een issue is in de Chrome specifieke zaken. En daarmee zal ChromiumOS ook niet geraakt zijn.

Orthodroom 15 februari 2022 13:26

Zit dit dan ook in Chromium en daarmee dan ook in Edge?

Helium-3

@Orthodroom • 15 februari 2022 14:16

De fixes zijn inderdaad toegepast op Chromium (de browser-engine). Deze worden dan gecompileerd in het programma met de Google schil er om heen tot Google Chrome.

Deze fixes zullen in Edge zitten zodra Microsoft de browser-engine fixes "download" van de repository en vervolgens hun Edge schil compileerd en als update uitgeeft.

IrBaboon79 @Orthodroom • 15 februari 2022 22:00

Geef het een paar dagen, die update komt vanzelf

alexanderjcs 15 februari 2022 13:53

Chrome wordt wereld wijd veel gebruikt en het aantal mensen dat bezig is met hacking en illegale dingen op internet neemt enorm toe, dus je ziet dat in korte tijd er toch weer behoorlijk wat fixes nodig zijn, wellicht dat over 3 weken dit wederom zo is, het is best wel zorgelijk.

robertlinke @alexanderjcs • 15 februari 2022 14:22

helaas gaan de meeste kwetsbaarheden over zogeheten Zero-day exploits, dit betekent dat ze meteen gebruikt worden zodra ze ontdekt worden, waardoor de manufacturer geen tijd heeft om het te dichten.

dit is inderdaad zorgelijk, maar je kan geen gat dichten waarvan je niet weet dat ie bestaat.
dus zo snel mogelijk na bekendwording dichten is de enigste oplossing hiervoor helaas.

en het zo te coden dat er geen kwetsbaarheden ontstaan klinkt mooi, maar wat als er 5 jaar later een nieuw web protocol word ingevoerd, dan moet je dus je hele code gaan scrubben voor alles wat mogelijk een probleem zou kunnen veroorzaken met dit nieuwe protocol, of zelfs maar kunnen realiseren dat dit een probleem kan worden uberhaupt, dat is realistisch niet te doen

Anonymoussaurus

Google Chrome
Google

@robertlinke • 15 februari 2022 14:25

helaas gaan de meeste kwetsbaarheden over zogeheten Zero-day exploits, dit betekent dat ze meteen gebruikt worden zodra ze ontdekt worden, waardoor de manufacturer geen tijd heeft om het te dichten.

Dat betekent het niet zozeer; er zijn ook zero-days die na 10 jaar pas worden ontdekt en er een stuk later pas een patch voor komt, terwijl de zero-day misschien al jaren voor de ontdekking gebruikt werd. Een zero-day is feitelijk gezien een lek wat simpelweg niet bekend is bij de ontwikkelaar.

Marctraider 15 februari 2022 16:40

Heeft chrome nog geen process isolation?

Muncher 15 februari 2022 14:36

Wellicht is dit niet de goede plek voor deze vraag... Waarom is dit een apart nieuws-item en niet een item op de Meuktracker? Omdat het om een zero-day gaat? In dat geval kunnen we een stuk of wat van dit soort nieuws-items gaan maken elke dag.

the_stickie @Muncher • 15 februari 2022 15:36

Ik gok omdat het toch niet zo vaak voorkomt dat een cve met cvss 9.8 gevonden wordt en vervolgens in enkele dagen gefixt is.
Als daar dan de melding bijkomt dat het lek actief misbruikt wordt, en Google voorlopig erover wil zwijgen duidt toch op enige ernst.... Dan is het misschien toch dringend/nieuwswaardig genoeg voor de frontpage?

BliXem 15 februari 2022 13:15

Hopelijk worden deze fixes ook snel meegenomen bij Ungoogle browser Ungoogle. Merk wel dat ze niet vaak updates uitvoeren.

beerse @BliXem • 15 februari 2022 14:07

De ungoogle variant is voor zover ik weet gebaseerd op Chromium, niet op Chrome. Met dat Chromium niet is genoemd, ga ik er van uit dat de issues in de google specifike zaken van Chrome zitten. Daarmee zijn de meeste andere chromium gebaseerde browsers niet direct geraakt.

Christoxz @beerse • 15 februari 2022 14:48

Met dat Chromium niet is genoemd, ga ik er van uit dat de issues in de google specifike zaken van Chrome zitten

Begrijp deze verwarring maar is incorrect.

A history of fixed Chromium security bugs is best found via security notes in Stable Channel updates on the Google Chrome releases blog.

Chromium fixes worden gedeeld in een Google Chrome release, het is dus vaak onduidelijk of de bug in Chrome zelf zit of Chromium, althans zonder research. Want ook in de Google Chrome release vermelden ze alleen de bug fix, en niet of dat Chrome of Chromium gerelateerd is.

Persoonlijk wel jammer, want inderdaad bugs in alleen Google Chrome is gewoon mogelijk, wat andere Chromium based browsers dus niet raakt.

hbt68 15 februari 2022 19:38

duurt geen dagen, update is al beschikbaar. net uitgevoerd op win0

Ulysses @hbt68 • 16 februari 2022 04:46

Inderdaad, ik keer hem ook al door gewoon de browser helemaal te herstarten, en verder:

Gebruikers kunnen de update direct installeren via de browserinstellingen, onder 'Help' en 'Over Google Chrome'.

robertlinke 15 februari 2022 13:54

een fix uitgebracht binnen 5 dagen na bekendwording, dat is best netjes.

the_stickie @robertlinke • 15 februari 2022 15:32

Ze vinden niet alle dagen een cve met cvss 9.8...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (20)

Sorteer op:

Weergave: