Google maakt ook de gerelateerde kwetsbaarheid van Microsoft Windows bekend
2 minuten gelezen
Google Chrome
Beveiligingsexperts bij Google hebben alle Chrome-gebruikers aanbevolen direct update hun browser, aangezien de zero-day exploit met het label CVE-2019-5786 is gepatcht in de laatste versie 72.0.3626.121.
Een zero-day exploit is een beveiligingsprobleem dat hackers hebben ontdekt en hebben bedacht hoe ze misbruik kunnen maken voordat de beveiligingsontwikkeling het kan patchen. Vandaar de term 'zero day' - beveiligingsontwikkeling had letterlijk nul dagen om het gat te dichten.
Google zweeg aanvankelijk over technische details van het beveiligingsprobleem, totdat ' een meerderheid van de Chrome-gebruikers is bijgewerkt met de oplossing ”. Dit zou waarschijnlijk verdere schade kunnen voorkomen.
Google heeft echter bevestigd dat het beveiligingsprobleem een gebruik-na-vrij misbruik is in de FileReader-component van de browser. FileReader is een standaard API waarmee webapps de inhoud van bestanden asynchroon kunnen lezen opgeslagen op een computer . Google bevestigde ook dat het beveiligingslek is uitgebuit door online bedreigingsactoren.
Kortom, het beveiligingslek stelt bedreigingsactoren in staat privileges te verkrijgen in de Chrome-browser en willekeurige code uit te voeren buiten de zandbak . De dreiging heeft gevolgen voor alle grote besturingssystemen ( Windows, macOS en Linux) .
Het moet een zeer ernstige exploit zijn, want zelfs Justin Schun, de Security and Desktop Engineering Lead voor Google Chrome, sprak op Twitter.
https://twitter.com/justinschuh/status/1103087046661267456
Het is nogal ongebruikelijk dat het beveiligingsteam in het openbaar beveiligingslekken aanpakt, ze patchen meestal stilletjes dingen. De tweet van Justin impliceerde dus een sterk gevoel van urgentie voor alle gebruikers om Chrome zo snel mogelijk bij te werken.
Google heeft meer details bijgewerkt over de kwetsbaarheid, en erkende in feite dat het twee afzonderlijke kwetsbaarheden waren die tegelijkertijd werden gebruikt.
De eerste kwetsbaarheid bevond zich in Chrome zelf, dat afhankelijk was van de FileReader-exploit zoals we hierboven hebben beschreven.
De tweede kwetsbaarheid was binnen Microsoft Windows zelf. Het was een escalatie van lokale privileges in Windows win32k.sys, en kon worden gebruikt als ontsnapping uit een beveiligingssandbox. Het beveiligingslek is een NULL-pointerverwijzing in win32k! MNGetpItemFromIndex wanneer NtUserMNDragOver () - systeemaanroep wordt aangeroepen onder specifieke omstandigheden.
Google merkte op dat ze het beveiligingslek aan Microsoft hebben bekendgemaakt, en maken het beveiligingslek openbaar omdat het ' een ernstige kwetsbaarheid in Windows waarvan we weten dat deze actief werd uitgebuit bij gerichte aanvallen ' .
Microsoft werkt naar verluidt aan een oplossing en gebruikers wordt aangeraden om te upgraden naar Windows 10 en patches van Microsoft toe te passen zodra deze beschikbaar komen.
Google Chrome bijwerken op een pc
Typ chrome: // instellingen / help in de adresbalk van je browser of klik op de drie puntjes rechtsboven en kies Instellingen zoals aangegeven in de afbeelding hieronder. 
Kies vervolgens Instellingen (balken) in de linkerbovenhoek en kies Over Chrome.
Eenmaal in het gedeelte Over controleert Google automatisch op updates en als er een update beschikbaar is, zal Google u hiervan op de hoogte stellen.
