Google heeft een beveiligingsupdate uitgebracht die recent ontdekte lekken in de Chrome-browser moet dichten. Daaronder is een ‘zero-daylek’ dat programma’s laat crashen en websites kan veranderen.

Het is voor het eerst dit jaar dat Google een nieuwe versie uitbrengt vanwege geconstateerde lekken. Deze 98.0.4758.102-versie wordt volgens een mededeling van het bedrijf “de komende dagen/weken uitgerold” voor Windows, Mac en Linux. Gebruikers die daar niet op willen wachten, kunnen de browser ook zelf direct bijwerken door in Chrome naar Instellingen te gaan en daar Over Chrome te selecteren. De Edge-browser van Microsoft, die op hetzelfde Chromium is gebaseerd, wordt naar verwachting ook binnenkort geüpdatet.

Zero-day
De belangrijkste aanleiding voor deze beveiligingsupdate is een ‘zero-daylek’, oftewel een kwetsbaarheid die bij de softwareontwerpers nog niet bekend was. Wanneer zo’n lek wordt geconstateerd, hebben de ontwerpers daarom nauwelijks tijd om het te dichten voordat er grootschalig misbruik van wordt gemaakt, vandaar de naam. In dit geval ging het om CVE-2022-0609, een kwetsbaarheid met een volgens Google hoog risiconiveau, die op 10 februari is vastgesteld door Google’s eigen Threat Analysis Group. Zoals de website Security.nl stelt: “Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen." En dus ook om bijvoorbeeld kwaadaardige links op een website te plaatsen. 

In totaal zijn er met deze beveiligingsupdate elf lekken gedicht in de browser, waarvan sommige ook het risiconiveau ‘hoog’ hebben. Google doet daar verder niet veel mededelingen over, omdat het hackers niet in de kaart wil spelen. Pas als de meerderheid van de gebruikers de update heeft geïnstalleerd, worden meer details vrijgegeven. Wie toch nu al meer achtergrondinformatie wil over het CVE-2022-0609-lek, kan op deze website met bekende kwetsbaarheden terecht.

Lucratief
In zijn statement spreekt Google zijn dank uit voor degenen die gevraagd of ongevraagd melding maken van zwakke plekken in de software. In dat laatste geval blijkt maar weer dat dit ook nog eens lucratief kan zijn: voor de hier gemelde lekken betaalt Google ‘bounties’ van tussen de zeven- en vijftienduizend dollar.