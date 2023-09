Google heeft een out-of-band beveiligingsupdate uitgebracht om een ​​kritieke kwetsbaarheid in zijn Chrome-webbrowser te verhelpen. De fout, bekend als CVE-2023-4863, betreft een heapbufferoverflow die het WebP-beeldformaat beïnvloedt. Deze kwetsbaarheid kan mogelijk leiden tot het uitvoeren van willekeurige code of crashes.

De ontdekking van de kwetsbaarheid werd toegeschreven aan Apple Security Engineering and Architecture (SEAR) en The Citizen Lab van de Munk School van de Universiteit van Toronto. De specifieke details van de exploit zijn niet bekendgemaakt, maar Google heeft erkend dat er in het wild een exploit voor CVE-2023-4863 is waargenomen.

Deze nieuwste patch maakt deel uit van de voortdurende inspanningen van Google om zero-day-kwetsbaarheden in Chrome aan te pakken. Sinds begin dit jaar heeft het bedrijf al vier van dergelijke kwetsbaarheden verholpen.

Naast de patch van Google heeft Apple ook zijn oplossingen uitgebreid om CVE-2023-41064 aan te pakken, een andere kwetsbaarheid met betrekking tot beeldverwerking. Dit beveiligingslek betreft een bufferoverloopprobleem in de Image I/O-component, wat kan leiden tot uitvoering van willekeurige code. Het werd gebruikt in combinatie met CVE-2023-41061 in een zero-click iMessage-exploitketen genaamd BLASTPASS om de Pegasus-spyware te implementeren op volledig gepatchte iPhones met iOS 16.6.

De overeenkomsten tussen CVE-2023-41064 en CVE-2023-4863, beide gerelateerd aan beeldverwerking en gerapporteerd door Apple en The Citizen Lab, suggereren een mogelijk verband tussen de twee kwetsbaarheden.

Ter bescherming tegen mogelijke bedreigingen wordt gebruikers geadviseerd hun Chrome-browser bij te werken naar versie 116.0.5845.187/.188 voor Windows en 116.0.5845.187 voor macOS en Linux. Gebruikers van Chromium-gebaseerde browsers, zoals Microsoft Edge, Brave, Opera en Vivaldi, moeten de patches ook toepassen zodra ze beschikbaar zijn.

