Google heeft een noodupdate voor de Chrome-browser uitgebracht die drie kwetsbaarheden verhelpt: CVE-2021-37974, CVE-2021-37975 en CVE-2021-37976. Google-deskundigen beschouwen een van de kwetsbaarheden als kritiek en de andere twee als zeer gevaarlijk.
Wat erger is: volgens Google hebben cybercriminelen twee van deze drie kwetsbaarheden al actief benut. Daarom adviseert Google alle Chrome-gebruikers om hun browser onmiddellijk naar versie 94.0.4606.71 te updaten. Deze kwetsbaarheden zijn ook relevant voor andere browsers die op de Chromium-engine zijn gebaseerd — Microsoft raadt bijvoorbeeld aan om Edge te updaten naar versie 94.0.992.38.
Waarom deze kwetsbaarheden in Google Chrome gevaarlijk zijn
CVE-2021-37974 en CVE-2021-37975 zijn kwetsbaarheden van de use-after-free-klasse (UAF). Oftewel: ze maken misbruik van onjuist gebruik van heap-geheugen en kunnen als gevolg daarvan leiden tot willekeurige code-uitvoering op de doelcomputer.
De eerste, CVE-2021-37974, is gerelateerd aan het Safe Browsing-component, een subsysteem van Google Chrome dat gebruikers waarschuwt voor onveilige websites en downloads. De CVSS v3.1-score wat betreft de ernst van deze kwetsbaarheid is 7,7 op 10.
De tweede kwetsbaarheid, CVE-2021-37975, werd gevonden in Crome’s V8 JavaScript-engine. Deze wordt als de gevaarlijkste van de drie beschouwd: 8,4 op de CVSS v3.1-schaal, wat het tot een “kritieke” kwetsbaarheid maakt. Onbekende boosdoeners maken al gebruik van deze kwetsbaarheid bij hun aanvallen op Chrome-gebruikers.
De oorzaak van de derde kwetsbaarheid, CVE-2021-37976, is een overbelichting van gegevens door de kern van Google Chrome. Deze is iets minder gevaarlijk (7,2 op de CVSS v3.1 schaal), maar het wordt ook al gebruikt door cybercriminelen.
Hoe cybercriminelen deze kwetsbaarheden kunnen benutten
Om de drie kwetsbaarheden te misbruiken, moet er een schadelijke webpagina worden gemaakt. Het enige wat aanvallers nodig hebben is een website met een ingebedde exploit en een manier om slachtoffers ernaartoe te lokken. Als gevolg hiervan kunnen aanvallers door middel van exploits voor twee use-after-free-kwetsbaarheden willekeurige code uitvoeren op de computers van ongepatchte Chrome-gebruikers die de pagina hebben geopend. Dit kan ertoe leiden dat hun systeem gecompromitteerd wordt. Een exploit voor de derde kwetsbaarheid, CVE-2021-37976, maakt het voor de aanvallers mogelijk om toegang te krijgen tot vertrouwelijke informatie van het slachtoffer.
Google zal waarschijnlijk meer details over de kwetsbaarheden bekendmaken nadat de meeste gebruikers hun browsers hebben bijgewerkt. In ieder geval is het niet de moeite waard om de update uit te stellen, dus doe dit zo snel mogelijk.
Hoe u veilig blijft
De eerste stap voor iedereen is het updaten van browsers op alle apparaten die toegang hebben tot het internet. Vaak wordt de update automatisch geïnstalleerd wanneer de browser opnieuw wordt opgestart, maar veel gebruikers starten hun computer lange tijd niet opnieuw op, zodat hun browser enkele dagen of zelfs weken kwetsbaar kan blijven. We raden u hoe dan ook aan om de versie van Chrome even te controleren. Dat doet u zo: klik op de knop Google Chrome aanpassen en beheren rechts bovenin het browservenster en kies daar Help -> Over Google Chrome. Als uw browserversie niet de nieuwst beschikbare versie is, zal Chrome automatisch de update starten.
Voor extra bescherming raden we gebruikers aan om beveiligingsoplossingen te installeren op alle apparaten met internettoegang. Op deze manier wordt zelfs met een browser die niet up-to-date is de kans op een succesvolle uitbuiting van kwetsbaarheden geminimaliseerd door proactieve beschermingstechnologieën.
We raden medewerkers van zakelijke informatiebeveiligingsafdelingen ook aan om beveiligingsoplossingen op alle apparaten te gebruiken, beveiligingsupdates in de gaten te houden en om gebruik te maken van een automatisch systeem voor het afleveren en controleren van updates. Het zou ook verstandig zijn om prioriteit te geven aan de installatie van browserupdates.