CVE-2019-13.720 is een nieuwe kwetsbaarheid in Chrome. Google waarschuwt gebruikers die deze use-after-free kwetsbaarheid in audio component van de browser wordt momenteel in het wild misbruik.
CVE-2019-13.720: sommige details
CVE-2019-13.720 werd ontdekt door Kaspersky security onderzoekers Anton Ivanov en Alexey Kulaev
De kwetsbaarheid is zeer ernstig, en zet gebruikers het risico van aanslagen. Gebruikers worden aangespoord om te updaten naar de nieuwste versie van Chrome, 78.0.3904.87, die zal worden rollen in de komende dagen.
Een succesvolle exploit van de kwetsbaarheid kan de aanvaller de controle over het kwetsbare systeem mogelijk te maken.
Zoals reeds vermeld, de fout wordt beschreven als een use-after-free kwestie. Gebruik-after-free kwetsbaarheden worden in feite aan het geheugen gerelateerde corruptie. In deze aanvallen, hackers zijn het maken van pogingen om toegang tot het geheugen nadat het is bevrijd. Dit zou kunnen leiden tot verschillende kwaadaardige scenario's, zoals crashen programma of het uitvoeren van willekeurige code uitvoeren aanslagen.
Google is zich bewust van het probleem en dat een exploit van de bug bestaat in het wild. "De stabiele kanaal is bijgewerkt 78.0.3904.87 voor Windows, Mac, en Linux, die uit zal rollen in de komende dagen / weken,”Google zei.
CVE-2019-13.721 – een andere gebruiker-after-free bug door Google bevestigd
Dit is niet het enige kwetsbaarheid Google onthuld in de afgelopen dagen. Een andere, zeer ernstige bug is CVE-2019-13.721, die berust op PDFium. PDFium werd ontwikkeld door Foxit en Google, en is een PDF-generatie en weergavebibliotheek.
CVE-2019-13.721 is ook van de use-after-free type, maar gelukkig, er is geen bewijs van de bug worden uitgebuit in het wild. De bug werd gemeld door een onderzoeker die bekend staat als “banananapenguin”, die kreeg een $7500 bounty via Google's kwetsbaarheid openbaarmaking programma.
Google ook bekend dat “toegang tot bug details en links kunnen worden gehouden beperkt tot een meerderheid van de gebruikers zijn bijgewerkt met een fix".