image

Google Chrome kwetsbaar voor tapijtbom-lek *update*

woensdag 3 september 2008, 09:41 door Redactie, 26 reacties

Google's Chrome browser is amper een paar uur te downloaden, maar de eerste beveiligingsproblemen zijn al aangetroffen. Door het tapijtbom-lek dat eerder Safari trof, lopen nu wederom Windows-gebruikers risico. De Israëlische onderzoeker Aviv Raff ontdekte dat hij twee beveiligingslekken kan combineren, een lek in Apple Safari (Webkit) en een Java bug die recentelijk op de Defcon conferentie besproken werd. Daardoor is het mogelijk om gebruikers uitvoerbare bestanden direct via Google's browser te laten uitvoeren.

Een aanvaller zou via twee muisklikken malware op de desktop van een Windows-gebruiker kunnen plaatsen. Het probleem wordt veroorzaakt doordat Chrome Webkit 525.14 gebruikt (Safari 3.1), een kwetsbare versie. Apple heeft het probleem inmiddels in haar eigen browser opgelost (Safari 3.1.2). Sommige Chrome-gebruikers met Windows Vista klagen dat gedownloade bestanden automatisch op de desktop worden geplaatst, wat mogelijkheden biedt voor aanvallers. Als bewijs plaatste Raff deze demonstratie online.

Het tapijtbom-lek werd lange tijd door Apple genegeerd, totdat het uiteindelijk besloot te patchen. Niet veel later werd bekend dat ook Firefox met het probleem te maken heeft.

Veilig genoeg?
Critici denken niet dat de browser zal slagen. Veel Google initiatieven verliezen namelijk snel de aandacht van het grote publiek. "Daarnaast laat de oorlog tussen Internet Explorer en Firefox zien dat het jarenlang werken met een inferieur product, Microsoft nog steeds de kracht en kennis heeft om de aanvallen af te slaan voordat de versterking komt opdagen. En die versterkingen komen in de vorm van IE8 eraan," aldus Dennis Fisher.

Het meest interessante van de browser is de sandbox-technologie, waar elke applicatie in z'n eigen geheugenruimte en virtual machine draait. Browsers zijn inmiddels kleine besturingssystemen geworden. Ze verwerken netwerkverkeer, input van gebruikers, renderen data en voeren code uit. Op dit moment werken browsers nog steeds als losse applicaties en zorgen ze ervoor dat webapplicaties niet met elkaar botsen. Iets wat ook in Chrome het geval is.

Volgens Adam O'Donnell gaan steeds meer applicaties van de desktop, een omgeving waar de processen enigszins gescheiden zijn, naar een omgeving waar dat niet het geval is. Dit heeft uiteindelijk gevolgen voor de gebruiker, die met een onveiligere en minder stabiele ervaring te maken krijgt. "In veel opzichten is Google’s Chrome technologie de volgende noodzakelijke stap om applicaties van de desktop te verplaatsen naar alles wat als een service wordt aangeboden."

Firefox de dupe
De Finse virusbestrijder F-Secure verwacht dat Chrome wel een succes zal worden, en daardoor ook interessant voor phishers en virusschrijvers. De groei van de browser zal ten koste van Firefox gaan. "We verwachten dat Chrome snel een behoorlijk marktaandeel zal veroveren, voornamelijk van bestaande Firefox-gebruikers," aldus Mikko Hyppönen.

Update: reactie F-Secure toegevoegd

Reacties (26)
03-09-2008, 09:44 door Nomen Nescio
Ja wat wil je als je de engine van Safari gebruikt. Maar we blijven eigenwijs: alles is goed als het maar niet van Microsoft komt. Lekken en andere gevaren nemen we op de koop toe. Wat een hypocriet zooitje zeg.
03-09-2008, 09:58 door [Account Verwijderd]
[Verwijderd]
03-09-2008, 10:09 door Anoniem
@Nomen Nescio

Webkit is niet de engine van Safari. Safari gebruikt Webkit als engine (net als diverse andere browsers). Zoals je in het artikel kan lezen is dit lek al opgelost in Safari en tevens is het later ook in Firefox gevonden.

Lees nou eens het artikel goed door voordat je die kansloze blaatput open doet.
03-09-2008, 10:15 door Anoniem
Er word even vergeten dat de browser echt heel veel sneller is met java script zoals gmail..
03-09-2008, 10:22 door T-Rob
Het is en blijft een beta, zal niet lang duren voordat dit opgelost wordt. Ik denk trouwens dat Chrome wel degelijk een concurrent van Firefox en Safari zal worden. Het bereik van Google is enorm. Ik merk aan mezelf dat ik ook prima in staat ben deze browser te testen en Firefox een weekje te laten liggen. Iets wat ik met IE8 nooit en te nimmer zal doen.

Dit is ook een leuke: http://evilfingers.com/advisory/google_chrome_poc.php
03-09-2008, 10:35 door Anoniem
Door T-RobHet is en blijft een beta, zal niet lang duren voordat dit opgelost wordt. Ik denk trouwens dat Chrome wel degelijk een concurrent van Firefox en Safari zal worden. Het bereik van Google is enorm. Ik merk aan mezelf dat ik ook prima in staat ben deze browser te testen en Firefox een weekje te laten liggen. Iets wat ik met IE8 nooit en te nimmer zal doen.
Het google bereik kan enorm zijn, er komt ook steeds meer een afkeer tegen alles wat van google komt. Dat jij in staat bent om firefox een weekje te laten liggen voor de google browser en niet voor IE8 zegt meer over jou en je klaarblijkelijke afkeer van Microsoft dan over IE8 zelf.

Voor de rest zie ik niet veel heil in nog een browser, weinig toegevoegde waarde.
03-09-2008, 10:59 door Anoniem
Toch wel opvallend. In het stukje wordt gesproken over dat FireFox aan aandeel moet in leveren en dat IE er weinig last van heeft. Kijk ik naar de reacties dan klopt het. De MS lover kunnen alleen maar af geven op de nieuwe browser en de mensen die FireFox gebruikers staan open om het te proberen.
Is het dan toch waar dat verstokte MS gebruikers alleen nog maar in MS producten geloven en al het andere niet goed kan zijn omdat er geen monpolist achter zit. FireFox gebruikers iets te kiezen willen hebben en dus ook rond blijven kijken wat er te kiezen is.
PS Werk ook met FireFox en ja ik ga Chrome uit proberen.
PS2 Zou er al een linux variant zijn?
03-09-2008, 11:20 door Anoniem
Linux en Mac OS X komen binnenkort :)
03-09-2008, 11:21 door Anoniem
From Google = NO privacy => /dev/null

Of te wel, ik zal deze browser nooit gebruiken. Ze proberen nu al met cookies en google analytics je te volgen over het internet. Dus nu een browser, dan kun je mooi loggen waar iedereen zit op het internet.

Beetje para, maar Google wordt iets te dominant.....
TheYOSH
03-09-2008, 11:43 door Anoniem
Door AnoniemToch wel opvallend. In het stukje wordt gesproken over dat FireFox aan aandeel moet in leveren en dat IE er weinig last van heeft. Kijk ik naar de reacties dan klopt het. De MS lover kunnen alleen maar af geven op de nieuwe browser en de mensen die FireFox gebruikers staan open om het te proberen.
Is het dan toch waar dat verstokte MS gebruikers alleen nog maar in MS producten geloven en al het andere niet goed kan zijn omdat er geen monpolist achter zit. FireFox gebruikers iets te kiezen willen hebben en dus ook rond blijven kijken wat er te kiezen is.
PS Werk ook met FireFox en ja ik ga Chrome uit proberen.
PS2 Zou er al een linux variant zijn?


Vreemde conclusies trek jij.
Of is het je meer te doen om de discussie een bepaalde richting in te stuwen?
03-09-2008, 11:50 door SirDice
Door AnoniemIs het dan toch waar dat verstokte MS gebruikers alleen nog maar in MS producten geloven en al het andere niet goed kan zijn omdat er geen monpolist achter zit.
Ik denk dat het gros niet eens weet dat er andere browsers bestaan. Voor veel gebruikers is Internet Explorer een synoniem voor "het Internet".

FireFox gebruikers iets te kiezen willen hebben en dus ook rond blijven kijken wat er te kiezen is.
Zoiets zal het zijn. Die mensen weten dat er alternatieven zijn.
03-09-2008, 12:01 door Anoniem
"From Google = NO privacy => /dev/null"

suuuurrreee... lekkere slimme opmerking

Heb je wel gelezen en gezien dat het uit meerdere Open Source projecten bestaat?
Dat wil zeggen: je kan precies zien wat de browser doet onder de motorkap, elk onderdeel..
Je mag hem zelfs modificeren, als je slim genoeg bent natuurlijk.

Voor je zo'n ongefundeerde opmerking maakt, lees eens eventjes verder.
03-09-2008, 12:17 door Anoniem
Dat de mannen hier niet aan Opera willen..
Gebruik ik al 7 a 8 jaar naar volle tevredenheid, en zo door de jaren heen , heb ik echt ELKE vernieuwende optie waar Opera meekwam, overgenomen zien worden door repectievelijk, Microsoft en Mozilla met hun slappe IE en Firefox..
Draai met de volgende browsers eens de volgende test:
Internet Explorer 7/8
Firefox 2/3
Safari whatever
en vergelijk eens de scores.
http://acid3.acidtests.org
Bezoek daarna eens de acid3 test met Opera, en zie de verschillen..
Niet dat scores alles zullen zeggen, maar geeft wel aan welke browser standard-compliant is, en welke niet.
03-09-2008, 12:25 door Skizmo
Leuk zo'n nieuwe browser, maar zou iedereen sectie 11 van de EULA willen lezen:


11. Content license from you

11.1 You retain copyright and any other rights you already hold in Content which you submit, post or display on or through, the Services. By submitting, posting or displaying the content you give Google a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services. This license is for the sole purpose of enabling Google to display, distribute and promote the Services and may be revoked for certain Services as defined in the Additional Terms of those Services.

11.2 You agree that this license includes a right for Google to make such Content available to other companies, organizations or individuals with whom Google has relationships for the provision of syndicated services, and to use such Content in connection with the provision of those services.

11.3 You understand that Google, in performing the required technical steps to provide the Services to our users, may (a) transmit or distribute your Content over various public networks and in various media; and (b) make such changes to your Content as are necessary to conform and adapt that Content to the technical requirements of connecting networks, devices, services or media. You agree that this license shall permit Google to take these actions.

11.4 You confirm and warrant to Google that you have all the rights, power and authority necessary to grant the above license.
03-09-2008, 12:45 door Anoniem
@Skimzo

Dus als ik via Webmail van het werk, vertrouwelijk gegevens verstuur, dan mogen zij dat publiceren (als ze de gecodeerde gegevens al kunnen decoderen) ?
03-09-2008, 13:14 door Vorik
Door SkizmoLeuk zo'n nieuwe browser, maar zou iedereen sectie 11 van de EULA willen lezen:

WOW.. bedankt voor de notificatie, ik was van plan hem te gebruiken wanneer hij voor Linux uitkwam, maar dat gaat er echt niet van komen met zo'n licentie..... Dit gaat echt nergens over.
03-09-2008, 13:18 door Anoniem
Ja wat wil je als je de engine van Safari gebruikt. Maar we blijven eigenwijs: alles is goed als het maar niet van Microsoft komt. Lekken en andere gevaren nemen we op de koop toe. Wat een hypocriet zooitje zeg.
Internet Explorer is natuurlijk vooral bekend vanwege z'n ongelooflijke veiligheid. En daarom vermoed ik dat Google in eerste instantie geprobeerd zal hebben een browser te ontwikkelen op basis van de IE-engine. Maar dat zal licentie-technisch wel niet rond gekomen zijn.

De voorwaarden die Skizmo noemt, spreken mij persoonlijk ook niet zo aan. Kansloos voor serieus gebruik denk ik. Grappig, daar kwam Nomen dan weer niet mee op de proppen.
03-09-2008, 14:13 door Bitwiper
Door Anoniem@Nomen Nescio
Webkit is niet de engine van Safari. Safari gebruikt Webkit als engine (net als diverse andere browsers). Zoals je in het artikel kan lezen is dit lek al opgelost in Safari en tevens is het later ook in Firefox gevonden.

Lees nou eens het artikel goed door voordat je die kansloze blaatput open doet.
Bovendien maakt ook Microsoft gebruik van WebKit, o.a. in [url=http://trac.webkit.org/wiki/Applications%20using%20WebKit#MSNMessenger-Microsoft]MSN Messenger[/url].
03-09-2008, 14:32 door Skizmo
Door Anoniem@Skimzo

Dus als ik via Webmail van het werk, vertrouwelijk gegevens verstuur, dan mogen zij dat publiceren (als ze de gecodeerde gegevens al kunnen decoderen) ?
Tja... dat is dus de grote vraag. Wat bedoelen ze nou precies met deze sectie, en in hoeverre kunnen ze dit hardmaken. Ik moet eerlijk zeggen ... ik weet het niet, maar ik werd er in een comment op Digg.com op geattendeerd.
03-09-2008, 14:46 door Eerde
Door Vorik
Door SkizmoLeuk zo'n nieuwe browser, maar zou iedereen sectie 11 van de EULA willen lezen:

WOW.. bedankt voor de notificatie, ik was van plan hem te gebruiken wanneer hij voor Linux uitkwam, maar dat gaat er echt niet van komen met zo'n licentie..... Dit gaat echt nergens over.
Vraagt niemand zich nu eerst even af wat er met: "the Services" bedoelt wordt ? Dat gaat gewoon over flimpjes die je op Youtube (= the Service) plaatst, dan kan je geen geld eisen van Google als 'copyright owner', want die heb je overgedragen. Dat is bij M$ niet anders.

Verder is het een goede (beta) browser, zeer snel en vol veiligheid en privacy features ! Op tweakers.net lees ik 98% positieve reacties van de eerste testers sinds gisteravond.

Toch grappig dat al die voorspellers, met hun kristallen bollen, nooit gelijk hebben achteraf.
Go Google go :)
03-09-2008, 15:26 door Anoniem
Door Anoniem"From Google = NO privacy => /dev/null"

suuuurrreee... lekkere slimme opmerking

Heb je wel gelezen en gezien dat het uit meerdere Open Source projecten bestaat?
Dat wil zeggen: je kan precies zien wat de browser doet onder de motorkap, elk onderdeel..
Je mag hem zelfs modificeren, als je slim genoeg bent natuurlijk.

Voor je zo'n ongefundeerde opmerking maakt, lees eens eventjes verder.

Tja, moet ik nog meer uitleggen: http://www.security.nl/artikel/22954/1/Google_Chrome_stuurt_surfgedrag_naar_zoekgigant.html

Mag wel opensource zijn, maar dat wil niet zeggen dat het niet gebeurt. Zelfs als het op de site staat, zal men het negeren en nog steeds deze browser gebruiken. Want 'Google is no evil'..... ik dacht het niet! Google wordt 1 grote spyware tool om alles en iedereen te monitoren op het web....

TheYOSH
03-09-2008, 16:23 door SirDice
Door Eerde
Door Vorik
Door SkizmoLeuk zo'n nieuwe browser, maar zou iedereen sectie 11 van de EULA willen lezen:

WOW.. bedankt voor de notificatie, ik was van plan hem te gebruiken wanneer hij voor Linux uitkwam, maar dat gaat er echt niet van komen met zo'n licentie..... Dit gaat echt nergens over.
Vraagt niemand zich nu eerst even af wat er met: "the Services" bedoelt wordt ? Dat gaat gewoon over flimpjes die je op Youtube (= the Service) plaatst, dan kan je geen geld eisen van Google als 'copyright owner', want die heb je overgedragen.
En zoals gewoonlijk zit je er weer eens faliekant naast...

1.1 Uw gebruik van de producten, software, services en websites van Google (in dit document gezamenlijk de 'Services' genoemd en met uitsluiting van eventuele services die door Google aan u worden geleverd onder een afzonderlijke schriftelijke overeenkomst) is onderhevig aan de voorwaarden van een juridische overeenkomst tussen u en Google. 'Google' betekent Google Inc., kantoorhoudende te 1600 Amphitheatre Parkway, Mountain View, CA 94043, Verenigde Staten. In dit document wordt beschreven hoe de overeenkomst tot stand komt en worden enkele voorwaarden van de overeenkomst uiteengezet.
http://www.google.com/chrome/eula.html

De software is dus Google Chrome.. Dus overal waar "Services" staat kun je dat vervangen voor Google Chrome want daar hebben we het tenslotte over..

Artikel 11 wordt dan:

11.1 U behoudt de auteursrechten en enige andere rechten die u al bezit over de inhoud die u op of via 'Google Chrome' inzendt, plaatst of weergeeft. Door het verstrekken, publiceren of weergeven van Inhoud door of via 'Google Chrome', verleent u Google een eeuwigdurende, onherroepelijke, wereldwijde, royaltyvrije en niet-exclusieve licentie op het reproduceren, aanpassen, wijzigen, vertalen, publiceren, verspreiden, publiekelijk uitvoeren en weergeven van deze Inhoud. Deze licentie is uitsluitend bedoeld om Google in staat te stellen de Services weer te geven, te verspreiden en te bevorderen en kan voor bepaalde Services worden ingetrokken, zoals gedefinieerd in de Aanvullende voorwaarden van die Services.

Het lijkt er op dat ze de licentie van een (publieke) webdienst gebruikt hebben bij deze software. Dat lijkt me niet helemaal kloppen.
03-09-2008, 17:11 door Eerde
SirFUD het gaat om 'content' en 'services', volgens mij ben je volledig mentaal verdwaald...
03-09-2008, 23:40 door Anoniem
heerlijke browser, snel en geen opsmuk zoals al die andere die of vastlopen of traag worden, boeit me niet dat ze me gegevens verzamelen...
05-09-2008, 20:50 door Anoniem
Firefox is veilig zat vindt ik zelf zolang je er de passende add ons er maar bij gaat gebruiken zoals bv noscript en WOT om maar een kleine aantal te noemen.
En de instellingen goed staan.
10-06-2009, 17:57 door Anoniem
Bij
Door Anoniem: Dat de mannen hier niet aan Opera willen..
Gebruik ik al 7 a 8 jaar naar volle tevredenheid, en zo door de jaren heen , heb ik echt ELKE vernieuwende optie waar Opera meekwam, overgenomen zien worden door repectievelijk, Microsoft en Mozilla met hun slappe IE en Firefox..
Draai met de volgende browsers eens de volgende test:
Internet Explorer 7/8
Firefox 2/3
Safari whatever
en vergelijk eens de scores.
http://acid3.acidtests.org
Bezoek daarna eens de acid3 test met Opera, en zie de verschillen..
Niet dat scores alles zullen zeggen, maar geeft wel aan welke browser standard-compliant is, en welke niet.
Ik had: IE 810, FF3 .0.10 71, Chrome 78 en Opera... Tja, die moet ik nog maar eens gaan downloaden...


Btw, ik gebruik Vista
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.