Chrome-gebruikers op Windows 7 aangevallen via zero-days

[Captain Kirk]

De kwetsbaarheid in Google Chrome die werd aangevallen voordat er een beveiligingsupdate beschikbaar was werd gecombineerd met een ongepatcht beveiligingslek in Windows. Dat heeft Google bekendgemaakt. De aanvallen die de internetgigant waarnam waren gericht tegen Chrome-gebruikers op 32-bit versies van Windows 7.

Google denkt dan ook dat de kwetsbaarheid alleen op Windows 7 is te misbruiken vanwege beveiligingsmaatregelen in nieuwere Windows-versies. Het beveiligingslek in Windows maakt het mogelijk voor een aanvaller om zijn rechten te verhogen en is te gebruiken als manier om uit de sandbox van Chrome te ontsnappen. De aanvallers combineerden dit met de kwetsbaarheid in de browser om willekeurige code op aangevallen systemen uit te voeren.

Google rapporteerde de kwetsbaarheid op 27 februari aan Microsoft en heeft het beveiligingslek nu bekendgemaakt. Gebruikers van Chrome krijgen het advies om te upgraden naar versie 72.0.3626.121 of nieuwer. Een beveiligingsupdate van Microsoft is nog niet beschikbaar. De softwaregigant komt aanstaande dinsdag 12 maart met de patches van deze maand. Of dan ook het zeroday-lek in kwestie wordt gedicht is nog onbekend. Google stelt dat gebruikers als oplossing voor het Windows-lek kunnen overwegen om naar Windows 10 te upgraden.

 

 

bron: security.nl