Google heeft een nieuwe beveiligingsupdate uitgebracht om een actief aangevallen zerodaylek in Chrome aan te pakken. Dit is al de derde zerodaykwetsbaarheid die dit jaar is aangepakt door het techbedrijf. Het gaat om het beveiligingslek, genaamd CVE-2024-4671, dat zich bevindt in het ‘Visuals’ gedeelte van de browser.

De impact van deze kwetsbaarheid is als “high” beoordeeld. Dit betekent dat een aanvaller in het ergste geval code kan uitvoeren binnen de browser en bijvoorbeeld data van andere websites kan lezen of aanpassen. Dit zou kunnen leiden tot het stelen van gevoelige informatie van gebruikers, inclusief kwetsbaarheden om uit de Chrome-sandbox te ontsnappen.

Hoewel beveiligingslekken met het stempel “high” op zichzelf niet voldoende zijn om een systeem over te nemen, zou een tweede kwetsbaarheid, bijvoorbeeld in het besturingssysteem, nodig zijn. Google heeft geen details vrijgegeven over de doelwitten van de aanvallen of hoe ze precies worden uitgevoerd. Het beveiligingslek werd gerapporteerd door een niet nader genoemde onderzoeker.

Google Chrome 124.0.6367.201/.202 is nu beschikbaar voor macOS en Windows. Linux-gebruikers kunnen versie 124.0.6367.201 downloaden. De meeste systemen zullen de update automatisch installeren, maar in het geval van actief aangevallen kwetsbaarheden kan dit tot zeven dagen duren. Gebruikers die de update direct willen ontvangen, kunnen een handmatige controle uitvoeren. Voor Microsoft Edge-gebruikers, die ook op de Chromium-browser van Google zijn gebaseerd, is er nog geen update beschikbaar.