Google heeft vrijdag een out-of-band beveiligingsupdate uitgebracht om een zeer ernstige kwetsbaarheid in zijn Chrome-browser aan te pakken waarvan wordt gezegd dat deze actief wordt misbruikt in het wild.
Bijgehouden als CVE-2022-1096, heeft de zero-day-fout betrekking op een kwetsbaarheid voor typeverwarring in de V8 JavaScript-engine. Een anonieme onderzoeker heeft de bug op 23 maart 2022 gemeld.
Typeverwarringsfouten, die optreden wanneer een bron (bijv. een variabele of een object) wordt benaderd met een type dat niet compatibel is met wat oorspronkelijk was geïnitialiseerd, kunnen ernstige gevolgen hebben in talen die niet geheugen veilig zoals C en C++, waardoor een kwaadwillende actor out-of-bounds geheugentoegang kan uitvoeren.
“Wanneer een geheugenbuffer wordt benaderd met het verkeerde type, kan het geheugen buiten de grenzen van de buffer lezen of schrijven, als de toegewezen buffer kleiner is dan het type dat de code probeert te benaderen, wat leidt tot een crash en mogelijk code uitvoering”, MITRE’s Common Weakness Enumeration (CWE) legt uit.
De techgigant erkende dat het “zich ervan bewust is dat er een exploit voor CVE-2022-1096 in het wild bestaat”, maar stopte met het delen van aanvullende details om verdere exploitatie te voorkomen en totdat een meerderheid van de gebruikers is bijgewerkt met een oplossing.
CVE-2022-1096 is de tweede zero-day-kwetsbaarheid die Google in Chrome aanpakt sinds het begin van het jaar. De eerste is CVE-2022-0609, een use-after-free-kwetsbaarheid in de Animation-component die op 14 februari werd gepatcht , 2022.
Eerder deze week maakte Google’s Threat Analysis Group (TAG) details bekend van een dubbele campagne opgezet door Noord-Koreaanse natiestaatgroepen die de fout bewapenden om in de VS gevestigde organisaties te treffen die zich uitstrekken over nieuwsmedia, IT, cryptocurrency en fintech-industrieën.
Google Chrome-gebruikers wordt ten zeerste aanbevolen om te updaten naar de nieuwste versie 99.0.4844.84 voor Windows, Mac en Linux om mogelijke bedreigingen te verminderen. Gebruikers van Chromium-gebaseerde browsers zoals Microsoft Edge, Opera en Vivaldi wordt ook geadviseerd om de fixes toe te passen zodra ze beschikbaar komen.
