Google patcht tweede Chrome-zero day in twee weken

De nieuw gevonden bug zit in V8, schrijft ZDNet. Dat is het Chrome-component dat JavaScript-code afhandelt. Verdere details over de zero day zijn echter niet bekend. Google maakt details over gevonden en gedichte gaten vrijwel nooit bekend, zodat het moeilijker wordt voor cybercriminelen om ze te misbruiken. Op die manier krijgen Chrome-gebruikers langer de tijd om updates te installeren, zonder dat ze bang hoeven te zijn voor misbruik.

Google adviseert wel om de browser zo snel mogelijk te updaten naar versie 86.0.4240.183 of nieuwere versies. 

Tweede zero day

Het is de tweede keer dat Google een actief misbruikte zero day vindt in Chrome. Op 20 oktober werd een patch uitgebracht voor CVE-2020-15999. Deze fout zat in de FreeType font rendering library van Chrome.

Deze zero day werd in combinatie met een nieuw gevonden gat in Windows - CVE-2020-17087 - misbruikt. De fout in Chrome kon misbruikt worden om malafide code in de browser uit te voeren. Het lek in Windows werd misbruikt om privileges van de code te verhogen en het onderliggende Windows-besturingssysteem aan te vallen. Naar verwachting dicht Microsoft deze fout op 10 november, de volgende Patch Tuesday.