Bijgewerkt op 7 april: een van Google’s eigen interne onderzoekers ontdekte op 30 maart nog een zeer ernstig beveiligingslek (CVE-2022-1232) in Chrome, en dit werd enkele dagen later verholpen. Deze kwetsbaarheid is ook gerelateerd aan Type Confusion in Chrome’s V8 engine. Zoals gebruikelijk is, heeft Google nog geen verdere details bekendgemaakt. Het is zeer belangrijk dat u uw Chrome-browser naar versie 100.0.4896.75 updatet, of dat nu op Windows, Mac of Linux is.

Google heeft 28 kwetsbaarheden verholpen door update 100.0.4896.60 uit te brengen voor de Chrome-browser. Minstens 9 daarvan zijn zeer ernstig — naast CVE-2022-1096, een andere ernstige kwetsbaarheid die Google een paar dagen geleden met een afzonderlijke update al heeft gepatcht. In totaal hebben de Chrome-ontwikkelaars dus in minder dan een week tijd patches uitgebracht voor 10 zeer ernstige kwetsbaarheden. Met andere woorden: als u uw computer al een hele tijd niet hebt herstart of uw browser onlangs niet opnieuw hebt opgestart, dan is het tijd voor een update.

CVE-2022-1096-kwetsbaarheid

Tot dusver heeft Google nog geen details over de kwetsbaarheden bekendgemaakt. Volgens het veiligheidsbeleid van het bedrijf blijft de toegang tot een gedetailleerde beschrijving van de bugs beperkt totdat de meerderheid van de actieve gebruikers hun browser heeft bijgewerkt. Maar het is nu al duidelijk dat het de CVE-2022-1096-kwetsbaarheid is (de kwetsbaarheid die Google op vrijdag 25 maart met een aparte patch heeft gedicht, slechts vier dagen voor de grote update) die voor echte problemen kan zorgen.

CVE-2022-1096 behoort tot de Type Confusion-klasse, wat betekent dat het verband houdt met een fout in de behandeling van datatypes in de V8-engine. De kwetsbaarheid is behoorlijk gevaarlijk, wat blijkt uit het feit dat Google deze bug apart heeft aangepakt met een noodpatch. Bovendien was Google er volgens de release notes van de patch van op de hoogte dat er op 25 maart al een exploit voor deze kwetsbaarheid bestond. De volgende dag verhielp Microsoft dezelfde kwetsbaarheid in hun op Chromium gebaseerde Edge-browser. Op grond van de beschikbare informatie kan redelijkerwijs worden aangenomen dat er niet alleen een exploit voor de kwetsbaarheid bestaat, maar dat hier ook actief gebruik van wordt gemaakt door aanvallers.

Nog 28 nieuwe kwetsbaarheden

Van de 28 kwetsbaarheden die met de laatste update worden verhelpen, zijn de meeste (20) ontdekt door onafhankelijke onderzoekers, en de overige acht door interne deskundigen van Google. Van de negen kwetsbaarheden met een hoge ernstgraad behoren er vier (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) tot de use-after-free-klasse; drie andere (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) hebben te maken met onaangepaste implementaties in verschillende componenten, een andere (CVE-2022-1130) heeft te maken met een ontoereikende validatie van niet-vertrouwde invoer in WebOTP en de resterende (CVE-2022-1134) is, net als de eerder genoemde CVE-2022-1096, een Type Confusion-probleem in V8-engine.

Hoe blijft u veilig?

Ten eerste moet u uw browser bijwerken naar de nieuwste versie – op het moment van dit schrijven is dat 100.0.4896.60. Als uw versie van Chrome ouder is, betekent dit dat uw browser niet automatisch is bijgewerkt en raden we u aan deze handmatig bij te werken met behulp van onze stapsgewijze instructies. Als u Microsoft Edge gebruikt, vergeet dan niet deze ook bij te werken. Dit gebeurt op dezelfde manier als bij Google Chrome.

We raden u ook aan het nieuws te volgen en de meest kritieke programma’s tijdig te updaten, waaronder beveiligingsoplossingen, browsers, office suites en het besturingssysteem zelf.

Bovendien raden we aan betrouwbare beveiligingsoplossingen te gebruiken die automatisch pogingen om kwetsbaarheden uit te buiten kunnen detecteren en voorkomen, zodat u zich tegen aanvallen kunt beschermen nog voordat er officiële patches zijn uitgebracht.