Google Chrome kwetsbaar voor tapijtbom-lek *update*
Google's Chrome browser is amper een paar uur te downloaden, maar de eerste beveiligingsproblemen zijn al aangetroffen. Door het tapijtbom-lek dat eerder Safari trof, lopen nu wederom Windows-gebruikers risico. De Israëlische onderzoeker Aviv Raff ontdekte dat hij twee beveiligingslekken kan combineren, een lek in Apple Safari (Webkit) en een Java bug die recentelijk op de Defcon conferentie besproken werd. Daardoor is het mogelijk om gebruikers uitvoerbare bestanden direct via Google's browser te laten uitvoeren.
Een aanvaller zou via twee muisklikken malware op de desktop van een Windows-gebruiker kunnen plaatsen. Het probleem wordt veroorzaakt doordat Chrome Webkit 525.14 gebruikt (Safari 3.1), een kwetsbare versie. Apple heeft het probleem inmiddels in haar eigen browser opgelost (Safari 3.1.2). Sommige Chrome-gebruikers met Windows Vista klagen dat gedownloade bestanden automatisch op de desktop worden geplaatst, wat mogelijkheden biedt voor aanvallers. Als bewijs plaatste Raff deze demonstratie online.
Het tapijtbom-lek werd lange tijd door Apple genegeerd, totdat het uiteindelijk besloot te patchen. Niet veel later werd bekend dat ook Firefox met het probleem te maken heeft.
Veilig genoeg?
Critici denken niet dat de browser zal slagen. Veel Google initiatieven verliezen namelijk snel de aandacht van het grote publiek. "Daarnaast laat de oorlog tussen Internet Explorer en Firefox zien dat het jarenlang werken met een inferieur product, Microsoft nog steeds de kracht en kennis heeft om de aanvallen af te slaan voordat de versterking komt opdagen. En die versterkingen komen in de vorm van IE8 eraan," aldus Dennis Fisher.
Het meest interessante van de browser is de sandbox-technologie, waar elke applicatie in z'n eigen geheugenruimte en virtual machine draait. Browsers zijn inmiddels kleine besturingssystemen geworden. Ze verwerken netwerkverkeer, input van gebruikers, renderen data en voeren code uit. Op dit moment werken browsers nog steeds als losse applicaties en zorgen ze ervoor dat webapplicaties niet met elkaar botsen. Iets wat ook in Chrome het geval is.
Volgens Adam O'Donnell gaan steeds meer applicaties van de desktop, een omgeving waar de processen enigszins gescheiden zijn, naar een omgeving waar dat niet het geval is. Dit heeft uiteindelijk gevolgen voor de gebruiker, die met een onveiligere en minder stabiele ervaring te maken krijgt. "In veel opzichten is Google’s Chrome technologie de volgende noodzakelijke stap om applicaties van de desktop te verplaatsen naar alles wat als een service wordt aangeboden."
Firefox de dupe
De Finse virusbestrijder F-Secure verwacht dat Chrome wel een succes zal worden, en daardoor ook interessant voor phishers en virusschrijvers. De groei van de browser zal ten koste van Firefox gaan. "We verwachten dat Chrome snel een behoorlijk marktaandeel zal veroveren, voornamelijk van bestaande Firefox-gebruikers," aldus Mikko Hyppönen.
Update: reactie F-Secure toegevoegd
Webkit is niet de engine van Safari. Safari gebruikt Webkit als engine (net als diverse andere browsers). Zoals je in het artikel kan lezen is dit lek al opgelost in Safari en tevens is het later ook in Firefox gevonden.
Lees nou eens het artikel goed door voordat je die kansloze blaatput open doet.
Dit is ook een leuke: http://evilfingers.com/advisory/google_chrome_poc.php
Voor de rest zie ik niet veel heil in nog een browser, weinig toegevoegde waarde.
Is het dan toch waar dat verstokte MS gebruikers alleen nog maar in MS producten geloven en al het andere niet goed kan zijn omdat er geen monpolist achter zit. FireFox gebruikers iets te kiezen willen hebben en dus ook rond blijven kijken wat er te kiezen is.
PS Werk ook met FireFox en ja ik ga Chrome uit proberen.
PS2 Zou er al een linux variant zijn?
Of te wel, ik zal deze browser nooit gebruiken. Ze proberen nu al met cookies en google analytics je te volgen over het internet. Dus nu een browser, dan kun je mooi loggen waar iedereen zit op het internet.
Beetje para, maar Google wordt iets te dominant.....
TheYOSH
Is het dan toch waar dat verstokte MS gebruikers alleen nog maar in MS producten geloven en al het andere niet goed kan zijn omdat er geen monpolist achter zit. FireFox gebruikers iets te kiezen willen hebben en dus ook rond blijven kijken wat er te kiezen is.
PS Werk ook met FireFox en ja ik ga Chrome uit proberen.
PS2 Zou er al een linux variant zijn?
Vreemde conclusies trek jij.
Of is het je meer te doen om de discussie een bepaalde richting in te stuwen?
suuuurrreee... lekkere slimme opmerking
Heb je wel gelezen en gezien dat het uit meerdere Open Source projecten bestaat?
Dat wil zeggen: je kan precies zien wat de browser doet onder de motorkap, elk onderdeel..
Je mag hem zelfs modificeren, als je slim genoeg bent natuurlijk.
Voor je zo'n ongefundeerde opmerking maakt, lees eens eventjes verder.
Gebruik ik al 7 a 8 jaar naar volle tevredenheid, en zo door de jaren heen , heb ik echt ELKE vernieuwende optie waar Opera meekwam, overgenomen zien worden door repectievelijk, Microsoft en Mozilla met hun slappe IE en Firefox..
Draai met de volgende browsers eens de volgende test:
Internet Explorer 7/8
Firefox 2/3
Safari whatever
en vergelijk eens de scores.
http://acid3.acidtests.org
Bezoek daarna eens de acid3 test met Opera, en zie de verschillen..
Niet dat scores alles zullen zeggen, maar geeft wel aan welke browser standard-compliant is, en welke niet.
11. Content license from you
11.1 You retain copyright and any other rights you already hold in Content which you submit, post or display on or through, the Services. By submitting, posting or displaying the content you give Google a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services. This license is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.
11.2 You agree that this license includes a right for Google to make such Content available to other companies, organizations or individuals with whom Google has relationships for the provision of syndicated services, and to use such Content in connection with the provision of those services.
11.3 You understand that Google, in performing the required technical steps to provide the Services to our users, may (a) transmit or distribute your Content over various public networks and in various media; and (b) make such changes to your Content as are necessary to conform and adapt that Content to the technical requirements of connecting networks, devices, services or media. You agree that this license shall permit Google to take these actions.
11.4 You confirm and warrant to Google that you have all the rights, power and authority necessary to grant the above license.
Dus als ik via Webmail van het werk, vertrouwelijk gegevens verstuur, dan mogen zij dat publiceren (als ze de gecodeerde gegevens al kunnen decoderen) ?
WOW.. bedankt voor de notificatie, ik was van plan hem te gebruiken wanneer hij voor Linux uitkwam, maar dat gaat er echt niet van komen met zo'n licentie..... Dit gaat echt nergens over.
Internet Explorer is natuurlijk vooral bekend vanwege z'n ongelooflijke veiligheid. En daarom vermoed ik dat Google in eerste instantie geprobeerd zal hebben een browser te ontwikkelen op basis van de IE-engine. Maar dat zal licentie-technisch wel niet rond gekomen zijn.
De voorwaarden die Skizmo noemt, spreken mij persoonlijk ook niet zo aan. Kansloos voor serieus gebruik denk ik. Grappig, daar kwam Nomen dan weer niet mee op de proppen.
Webkit is niet de engine van Safari. Safari gebruikt Webkit als engine (net als diverse andere browsers). Zoals je in het artikel kan lezen is dit lek al opgelost in Safari en tevens is het later ook in Firefox gevonden.
Lees nou eens het artikel goed door voordat je die kansloze blaatput open doet.
Dus als ik via Webmail van het werk, vertrouwelijk gegevens verstuur, dan mogen zij dat publiceren (als ze de gecodeerde gegevens al kunnen decoderen) ?
WOW.. bedankt voor de notificatie, ik was van plan hem te gebruiken wanneer hij voor Linux uitkwam, maar dat gaat er echt niet van komen met zo'n licentie..... Dit gaat echt nergens over.
Verder is het een goede (beta) browser, zeer snel en vol veiligheid en privacy features ! Op tweakers.net lees ik 98% positieve reacties van de eerste testers sinds gisteravond.
Toch grappig dat al die voorspellers, met hun kristallen bollen, nooit gelijk hebben achteraf.
Go Google go :)
suuuurrreee... lekkere slimme opmerking
Heb je wel gelezen en gezien dat het uit meerdere Open Source projecten bestaat?
Dat wil zeggen: je kan precies zien wat de browser doet onder de motorkap, elk onderdeel..
Je mag hem zelfs modificeren, als je slim genoeg bent natuurlijk.
Voor je zo'n ongefundeerde opmerking maakt, lees eens eventjes verder.
Tja, moet ik nog meer uitleggen: http://www.security.nl/artikel/22954/1/Google_Chrome_stuurt_surfgedrag_naar_zoekgigant.html
Mag wel opensource zijn, maar dat wil niet zeggen dat het niet gebeurt. Zelfs als het op de site staat, zal men het negeren en nog steeds deze browser gebruiken. Want 'Google is no evil'..... ik dacht het niet! Google wordt 1 grote spyware tool om alles en iedereen te monitoren op het web....
TheYOSH
WOW.. bedankt voor de notificatie, ik was van plan hem te gebruiken wanneer hij voor Linux uitkwam, maar dat gaat er echt niet van komen met zo'n licentie..... Dit gaat echt nergens over.
De software is dus Google Chrome.. Dus overal waar "Services" staat kun je dat vervangen voor Google Chrome want daar hebben we het tenslotte over..
Artikel 11 wordt dan:
11.1 U behoudt de auteursrechten en enige andere rechten die u al bezit over de inhoud die u op of via 'Google Chrome' inzendt, plaatst of weergeeft. Door het verstrekken, publiceren of weergeven van Inhoud door of via 'Google Chrome', verleent u Google een eeuwigdurende, onherroepelijke, wereldwijde, royaltyvrije en niet-exclusieve licentie op het reproduceren, aanpassen, wijzigen, vertalen, publiceren, verspreiden, publiekelijk uitvoeren en weergeven van deze Inhoud. Deze licentie is uitsluitend bedoeld om Google in staat te stellen de Services weer te geven, te verspreiden en te bevorderen en kan voor bepaalde Services worden ingetrokken, zoals gedefinieerd in de Aanvullende voorwaarden van die Services.
Het lijkt er op dat ze de licentie van een (publieke) webdienst gebruikt hebben bij deze software. Dat lijkt me niet helemaal kloppen.
En de instellingen goed staan.
Gebruik ik al 7 a 8 jaar naar volle tevredenheid, en zo door de jaren heen , heb ik echt ELKE vernieuwende optie waar Opera meekwam, overgenomen zien worden door repectievelijk, Microsoft en Mozilla met hun slappe IE en Firefox..
Draai met de volgende browsers eens de volgende test:
Internet Explorer 7/8
Firefox 2/3
Safari whatever
en vergelijk eens de scores.
http://acid3.acidtests.org
Bezoek daarna eens de acid3 test met Opera, en zie de verschillen..
Niet dat scores alles zullen zeggen, maar geeft wel aan welke browser standard-compliant is, en welke niet.
Btw, ik gebruik Vista
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
