Af Eskil Sørensen, 12/01/23
Årets første opdatering fra Chrome retter 17 sårbarheder. To af dem har fået prædikatet 'high serverity', skriver Security Week, og de vedrører hhv. et use-after-free issue in Overview Mode (CVE-2023-0128) og en heap buffer overflow-fejl i Network Service (CVE-2023-0129). Resten af sårbarhederne er 'medium' eller 'low'.
Eksterne researchere har hjulpet til med at finde sårbarhederne, hvilket har affødt mindst 39.000 dollar i dusør. Den højeste dusør op 8000 dollar blev givet til en researcher, der fandt en 'low severity'-sårbarhed; normen er ellers, at de højeste dusører udbetales til researchere, der har fundet de mest kritiske sårbarheder. Det kan være en skjult opfordring fra Google til at få flere til at interessere sig for de lavere prioriterede sårbarheder, der er sværere at udnytte og derfor heller ikke er så eftertragtede at indrapportere.
Opdateringen rulles nu ud til Linux-brugere som Chrome 109.0.5414.74, mens Windows-brugere vil modtage den som Chrome 109.0.5414.74/.75. For macOS har den seneste version fået nummer 109.0.5414.87.
Har man automatisk opdatering slået til, vil rettelserne blive implementeret, når rettelserne er sendt ud. Egenhændig opdatering kan dog ske ved at gå til Indstillinger -> Hjælp -> Om Chrome. Herefter vil browseren selv søge efter opdateringerne og installere dem efter en genstart.
Links:
https://www.securityweek.com/chrome-109-patches-17-vulnerabilities