Af Eskil Sørensen, 27/09/21
Google har fredag frigivet en Chrome-opdatering for at imødegå en aktivt udnyttet nul-dages sårbarhed. Det skriver The Hacker News. Sårbarheden er pt. under aktiv udnyttelse og er beskrevet som en såkaldt ’use-after-free’-sårbarhed i Portals API, som er et navigationssystem på en webside. Det gør det muligt for en side at vise en anden side som en indlemmelse og ’udføre en sømløs overgang til en ny tilstand, hvor tidligere den indlemmede side bliver dokumentet på øverste niveau. ’
Den nye version udsendes til brugerne i løbet af de næste dage og uger og opdateres automatisk, hvis denne funktion er slået til. Chrome-brugere kan dog selv aktivt opdatere til den nyeste version (94.0.4606.61) til Windows, Mac og Linux ved at gå til Indstillinger> Hjælp> 'Om Google Chrome'. Herefter søger browseren selv efter opdateringen og installerer den. Det sidste kræver dog genstart af browseren.
Microsoft har også ageret ift. til sårbarheden og meddeler, at ’den nyeste version af Microsoft Edge (Chromium-baseret) ikke længere er sårbar’. Dette eftersom den Chromium-baserede Edge-browser anvender Chromium Open Source Software (OSS), hvorfor sårbarheden evt. kunne være nedarvet.
Links:
https://thehackernews.com/2021/09/urgent-chrome-update-released-to-patch.html
https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/google-releases-security-updates-chrome
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-37973
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.html