Google, Microsoft og flere andre leverandører av Chromium-baserte nettlesere har i løpet av de siste dagene kommet med en haste-sikkerhetsoppdatering til desktop-utgavene for både Windows, MacOS og Linux. Oppdateringen fjerner en sårbarhet (CVE-2022-1096) som Chromium-teamet ble varslet om anonymt den 23. mars.
Sårbarheten er av typen «type confusion» og er gitt høy alvorlighetsgrad. Google har foreløpig ikke kommet med flere detaljer om selve sårbarheten, men oppgir at angrepskode som utnytter sårbarheten har blitt offentliggjort.
Sårbarheten er fjernet i versjon 99.0.4844.84 eller nyere av Chrome, samt i andre nettlesere basert på Chromium med samme versjonsnummer.
Fra null til mange
Det har vært en betydelig økning i mengden av nulldagssårbarheter i Chrome og søsternettleserne de siste årene. Nulldagssårbarheter er sårbarheter som enten blir offentlig kjent eller utnyttes av angripere før en sikkerhetsfiks er tilgjengelig.
Mens det ikke var noen i det hele tatt i årene 2015 til 2018, har antallet nå blitt betydelig, med 14 stykker i 2021 som en foreløpig topp.
Google er åpne om dette og mener at årsaken er sammensatt. Mer åpenhet om at sårbarheter blir utnyttet er en faktor som nevnes, sammen med stadig større utbredelse av Chromium-baserte nettlesere – ikke minst etter at Edge skiftet til denne motoren i 2020.
Andre faktorer er mer kompleks funksjonalitet i nettleserne, samt det faktum at mer lavthengende frukt, som Flash Player, ikke lenger er tilgjengelig.
Krever kjeder av sårbarheter
Samtidig opplyser Google at det har blitt vanskeligere å utnytte sårbarhetene. Dette er resultatet av et flerårig prosjekt, Site Isolation, som nå i stor grad er ferdig. Dette gjør at det vanligvis ikke er mulig å få full tilgang til systemet ved hjelp av bare én sårbarhet. I stedet må angripere først utnytte minst én sårbarhet i prosessen for innholdsgjengivelse og deretter ta spranget over i den privilegerte nettleserprosessen eller operativsystemet til enheten ved å utnytte én eller flere sårbarheter der.
