Een zero-day-kwetsbaarheid in de portals van Google Chrome betekent dat u onmiddellijk moet updaten, aangezien er in het wild misbruik van is gemaakt.
Als u Google Chrome gebruikt, moet u onmiddellijk updaten. Een zero-day-beveiligingsfout is verholpen als onderdeel van Chrome 94.0.4606.61, dat werd uitgebracht als noodupdate voor Windows, Mac en Linux. Aan de exploit is de CVE-ID CVE-2021-37973 toegewezen, hoewel het bedrijf informatie over de exploit heeft achtergehouden totdat de meerderheid van de gebruikers de update heeft uitgevoerd. De update wordt nu uitgerold op het stabiele kanaal en gebruikers moeten zo snel mogelijk updaten. Om uw Chrome-versie te controleren, klikt u op het overloopmenu rechtsboven, gaat u naar "meer" en klikt u op "help". Er wordt aangegeven welke Chrome-versie u hebt geïnstalleerd, en ook de nieuwste versie die voor u beschikbaar is.
In een veiligheidsadvies uitgebracht door het bedrijf (via BleepingComputer), stond er dat "Google zich ervan bewust is dat er in het wild een exploit voor CVE-2021-37973 bestaat." Google zegt dat dit een "
gebruik na gratis" aanval binnen Portalen, wat betekent dat er door een bug in Portals nog steeds naar het vrijgekomen geheugen kan worden verwezen. Dit kan leiden tot onverwacht gedrag en kan leiden tot misbruik van de browser in ideale omstandigheden voor een aanvaller. Portals zijn een functie waarmee het bedrijf in 2019 begon te testen en die worden gebruikt voor het insluiten en naadloze overgangen tussen pagina's.Het vandaag opgeloste zero-day-beveiligingslek werd gemeld op de dag dat de eerste stabiele versie van Google Chrome 94 werd gepubliceerd, op 21 september. Het werd ontdekt door Clément Lecigne van Google TAG, met hulp van Sergei Glazunov en Mark Brand van Google Project Zero. Project Zero is een beveiligingsdivisie in dienst van Google, opgericht in 2014. De primaire missie van het team is het ontdekken van zero-day-kwetsbaarheden – dat wil zeggen kwetsbaarheden die onbekend zijn (of niet worden aangepakt door) de partij die geïnteresseerd zou moeten zijn in de beperking ervan. 'Hartbloeding' wel zo'n zero-day exploit, die privé door twee afzonderlijke beveiligingsteams aan OpenSSL werd gerapporteerd. Eén van deze beveiligingsteams opereerde onder Google en leidde uiteindelijk tot de oprichting van Project Zero.
Nu deze bug door Google is onthuld, komt het totaal op elf zero-day-kwetsbaarheden die in 2021 in Google Chrome zijn ontdekt.