Bron

Leestijd 1 min

Google kondigde deze week een Chrome-update aan die in totaal 11 kwetsbaarheden in de browser verhelpt, waaronder zes die door externe onderzoekers zijn gemeld. Vijf daarvan zijn "use-after-free"-problemen, waarvan er vier als "zeer ernstig" worden beschouwd. Use-after-free fouten ontstaan wanneer een programma de pointer niet opruimt na het vrijmaken van de geheugentoewijzing. Dergelijke kwetsbaarheden kunnen leiden tot de uitvoering van willekeurige code, het ontzeggen van de dienstverlening of de corruptie van gegevens, maar kunnen, indien ze met andere problemen worden gecombineerd, een volledige compromittering van het systeem mogelijk maken. In Chrome kunnen use-after-free bugs vaak worden misbruikt om uit de sandbox van de browser te ontsnappen. De vier zeer ernstige use-after-free kwetsbaarheden die met de nieuwste Chrome 103-update zijn verholpen, worden getraceerd als CVE-2022-2477, CVE-2022-2478, CVE-2022-2480 en CVE-2022-2481, en hebben invloed op onderdelen zoals Guest View, PDF, Service Worker API en Views. Google zegt dat het 16.000 dollar en 7.500 dollar heeft betaald aan bug bounty beloningen voor de eerste twee fouten, maar heeft nog niet bepaald welk bedrag zal worden uitgedeeld voor de laatste kwestie. Volgens het beleid van het bedrijf wordt er geen beloning uitgeloofd voor CVE-2022-2480, die werd gemeld door een onderzoeker van Google Project Zero. De internetgigant heeft echter wel 3.000 dollar betaald voor CVE-2022-2479, een probleem met hoge ernst dat te maken heeft met onvoldoende validatie van niet-vertrouwde invoer in de File-component. De zesde extern gemelde kwetsbaarheid die met deze Chrome-update wordt verholpen, is CVE-2022-2163, een laag-ernstig use-after-free probleem in Cast UI en Toolbar, waarvoor de rapporterende onderzoeker een beloning van $7.000 voor een bug bounty ontving. Google maakt geen melding van een van deze kwetsbaarheden die in het wild worden uitgebuit.

een maand geleden - securityweek.com

Korte versie

Google zegt dat het 16.000 dollar en 7.500 dollar aan bug bounty beloningen heeft uitbetaald voor de laatste update van zijn Chrome browser.

Uitgebreide versie

Use-after-free fouten ontstaan wanneer een programma de pointer niet opruimt na het vrijmaken van de geheugentoewijzing. Dergelijke kwetsbaarheden kunnen leiden tot de uitvoering van willekeurige code, het ontzeggen van de dienstverlening of de corruptie van gegevens, maar kunnen, indien ze met andere problemen worden gecombineerd, een volledige compromittering van het systeem mogelijk maken. In Chrome kunnen use-after-free bugs vaak worden misbruikt om uit de sandbox van de browser te ontsnappen.

Vergelijkbare publicaties

In het artikel genoemde namen van organisaties

article image

Gevonden topics

compliance

39%

cloud

41%