Update voor Chrome dicht twee actief misbruikte lekken

Het lek dat bij Pwn2Own werd gevonden betreft een zwakke plek in de V8 JavaScript Engine. Chrome gebruikt die voor het uitvoeren van JavaScript-code. Voor dit lek is wel kort na de wedstrijd een patch uitgebracht, maar die is pas met deze update doorgevoerd in Chrome.

Dit Chrome-lek is gevonden door de onderzoekers Bruno Keith en Niklas Baumstart die er 100.000 dollar mee hebben gewonnen. Het Chrome-securityteam heeft daar vervolgens snel een patch voor ontwikkeld. De Indiase security-onderzoeker Rajvardhan Agarwal wist op basis daarvan echter proof-of-concept exploitcode te ontwikkelen. Hij publiceerde dat enkele dagen later online, waardoor derden er misbruik van kunnen maken.

Het tweede lek dat in de nieuwste update voor Chrome wordt gedicht betreft een zwakke plek in de Blink-browserengine. Chrome gebruikt deze voor de weergave van webcontent. Ook dit lek wordt actief misbruikt door kwaadwillende hackers.