Af Eskil Sørensen, 14/12/23
Google har i denne uge udgivet Chrome version 120, der adresserer ni sårbarheder.
Som sædvanlig med Google har den mest alvorlige fejl, som er indrapporteret af eksterne researchere, udløst en dusør. I denne omgang er den på 16.000 dollar for fundet af CVE-2023-6702, en type confusion-fejl i V8 JavaScript-motoren, med karakteren 'høj'. I alt har de indrapporterede fejl kostet Google 50.000 dollar i dusørudbetaling til rettelse af 'use-after-free'-sårbarheder i browserens Blink-, libavif-, WebRTC- og FedCM-komponenter og i CSS.
Use after free-sårbarheder er 'memory corruption'-sårbarheder i, der kan udnyttes til at afvikle vilkårlig kode, korrumpere data eller føre DoS-angreb med sig. Security Week skriver, at problemerne udnyttes i Chrome til at undslippe ’sandkassen’, men kun hvis de kombineres med en fejl i det underliggende OS eller i en privilegeret proces.
Der er ikke rapporteret om udnyttelser in-the-wild.
Den nye version af Chrome, som har versionsnummer 120.0.6099.109/110 for Windows, Mac og Linux, installeres automatisk i de kommende uger, men som altid kan brugere selv installere opdateringerne ved at gå til Indstillinger > Hjælp> Om Google Chrome. Herefter søger browseren selv efter opdateringen og installerer den efter en genstart.
Links:
https://www.securityweek.com/chrome-120-update-patches-high-severity-vulnerabilities/