Dat meldt het Chrome-team op zijn blog. Het betreft een kwetsbaarheid in de eigen V8 Javascipt-engine van Chrome, waardoor speciaal gefabriceerde Javascript-code zonder toestemming het geheugen uit kan lezen.

Daardoor kan een aanvaller privacygevoelige gegevens stelen of malicieuze code uitvoeren. Dat kan overigens wel alleen in de sandbox van Google Chrome. Mozilla Security heeft de kritieke kwetsbaarheid aan Google gemeld.

Een ander kritiek lek maakt het mogelijk dat kwaadaardige xml-code een browsertab doet crashen. Daardoor is het voor aanvallers wederom mogelijk willekeurige code uit te voeren.

Kaminsky

Een derde kwetsbaarheid is door security-onderzoeker Dan Kaminsky gerapporteerd. Chrome accepteerde namelijk ook https-verbindingen die waren versleuteld met de achterhaalde en onveilig geachte MD2 en MD4 hashing algoritmes. Meer details over deze zwakte zal Google pas naar buiten brengen als de meerderheid van de gebruikers is gepatcht.

Met de nieuwste update (Chrome 2.0.172.43), die automatisch wordt uitgerold en geïnstalleerd, zijn alledrie de lekken gedicht.

Google spioneert

Eerder deze week kwam Chrome onder vuur van een andere security-onderzoeker, Robert Hansen. Hij hekelde het feit dat Chrome bij elke update behalve het versienummer ook een machineID en userID naar de servers van Google stuurt. Volgens Hansen wordt deze informatie gebruikt voor het in kaart brengen (tracking) van surfgedrag.

Bovendien, ook al zou Google niks met deze data doen, zou die informatie in handen kunnen komen van derden. Bijvoorbeeld door een gerechtelijk bevel voor Google, klaagt Hansen.

Iron

Overigens is het al sinds de eerste bèta van Chrome bekend dat de browser additionele gegevens zoals een userID doorgeeft. Dat was een van de belangrijkste redenen voor het Duitse bedrijfje SRWare om destijds Iron, een 'ont-Googelde' versie van Chrome, te bouwen.