Google: Update ook Windows 7 tegen zero-day Chrome

Dat schrijven de beveiligingsexperts op het security-blog van Google. De zero-day in Google Chrome die gisteren bekend werd gemaakt door Google stelde aanvallers in staat om willekeurige code uit te voeren. Vandaag maakten de experts bekend dat dit in alle ontdekte gevallen werd gedaan door ook een lek in Windows 7 te misbruiken, waarvoor Microsoft vooralsnog geen patch heeft uitgebracht.

Actieve uitbuiting op Windows 7

Het advies van Google voor gebruikers van Windows 7 is om zo snel mogelijk te updaten naar Windows 10. De experts van Google zijn er naar eigen zeggen "sterk van overtuigd dat dit beveiligingslek mogelijk alleen kan worden misbruikt op Windows 7, als gevolg van recente beveiligingsupdates die zijn toegevoegd in nieuwere versies van Windows." Tot op heden hebben de experts van Google alleen actieve uitbuiting waargenomen tegen Windows 7 32-bits systemen.

Hoewel de Google-experts het lek hebben gemeld bij Microsoft, heeft de Windows-fabrikant nog geen patch uitgebracht voor het lek. Microsoft komt naar verwachting van Google aan het einde van de maand met updates waarin onder andere dit probleem moet worden verholpen. 

Combinatie-aanval

Het niet-gepatchte Windows 7-beveiligingslek kan volgens Google nog steeds worden gebruikt door aanvallers om hun bevoegdheden te verhogen of om uit de beveiligingssandbox van Chrome te ontsnappen. In het geval van de zero-day in Chrome combineerden de aanvallers dit met deze kwetsbaarheid van de browser om vervolgens hun aanvallen te kunnen uitvoeren.

Zelf bracht Google gisteren samen met de melding van de zero-day in Chrome met de code CVE-2019-5786, ook gelijk het sterke advies naar buiten om browsers zo snel mogelijk te updaten naar versie 72.0.3626.121.