Det er ikke bekreftet, men angivelig gjør sårbarheten det mulig å unnslippe sikkerhetssandkassen i Chrome.
Det er ikke bekreftet, men angivelig gjør sårbarheten det mulig å unnslippe sikkerhetssandkassen i Chrome. (Illustrasjonsfoto: Colourbox/Demjanovich Vadim. Montasje: digi.no)

Google Chrome

Google lappet Chrome-sårbarhet som allerede var under angrep

Har du ikke startet Chrome på nytt i det siste, så bør du gjøre det nå.

Fredag i forrige uke, den 1. mars, kom Google med en sikkerhetsoppdatering til Chrome. Bortsett fra å informere om at det dreier seg om en alvorlig sårbarhet i FileReader-programmeringsgrensesnittet til Chrome, inneholdt kunngjøringen få detaljer. 

Under angrep

I går ble kunngjøringen oppdatert, og nå opplyses det at Google er kjent med at det allerede finnes angrepsverktøy som utnytter sårbarheten, som også er registrert som CVE-2019-5786

Justin Schuh, en sikkerhetsleder i Chrome-teamet til Google, skriver på Twitter at brukerne bør oppdatere Chrome umiddelbart til versjon 72.0.3626.121 eller nyere. Vanligvis er dette så enkelt som å starte nettleseren på nytt.

Ifølge Chaouki Bekrar, som er mest kjent som grunnleggeren av det tidligere informasjonssikkerhetsselskapet VUPEN, skriver at sårbarheten i praksis angivelig er en komplett kjede som kan gjøre det mulig å unnslippe sikkerhetssandkassen i Chrome. Det er i så fall svært alvorlig.

Det er ikke mer enn noen dager siden digi.no skrev om en annen sårbarhet i Chrome som aktivt utnyttes i angrep. Den er knyttet til den innebygde PDF-leseren og kommer ikke til å bli fjernet før i slutten av april.

I ettertid har Google kommet med ytterligere informasjon. Angrepskjeden avhenger også av en sårbarhet i Windows, som trolig bare kan utnyttes i Windows 7. Den er foreløpig ikke blitt fjernet.

Les også: Nulldagssårbarhet i Chrome utnyttes i aktive angrep

Kommentarer (0)

Kommentarer (0)
Til toppen