Nieuws
image

Google Chrome blijkt gatenkaas

zaterdag 6 september 2008, 11:51 door Redactie, 24 reacties

Google's Chrome browser blijkt veel meer beveiligingslekken te bevatten dan alleen het tapijtbom-lek en Denial of Service crashes. Oekraïense onderzoekers ontdekten een lek waardoor een aanvaller zonder enige waarschuwing een bestand in de standaard download directory kan plaatsen. Het slachtoffer moet dan wel eerst een kwaadaardige pagina bezoeken, zoals deze proof-of-concepts laten zien. Veel erger is het eerste kritieke lek dat een aanvaller op afstand de browser en het systeem laat overnemen.

Voor het uitvoeren van de aanval is wel enige social engineering vereist, aangezien het slachtoffer de kwaadaardige pagina moet opslaan via de 'SaveAs' functie, waarna de stack-based overflow pas plaatsvindt en het uitvoeren van willekeurige code mogelijk is. De exploit is inmiddels online te vinden, wat ook geldt voor verschillende proof-of-concepts die de Windows rekenmachine laden.

Laat Chrome met rust

Beveiligingsonderzoeker Ivan Ristic is van mening dat de gevonden problemen onderdeel van een natuurlijk proces zijn, aangezien de software zich nog in de betafase bevindt. "Het is te verwachten dat beveiligingsproblemen zich voordoen. De reden voor een publieke betatest is om het product door een groot publiek te laten testen en de gevonden problemen op te lossen voor er een stabiele versie verschijnt." Op dit moment is nog niemand in staat foutloze applicaties te ontwikkelen en Google is daar geen uitzondering in. "Mensen moeten zich dus niet door de kleine problemen die gevonden zijn laten afleiden."

Toch heeft de onderzoeker ook kritische woorden. Google moet namelijk stoppen met het gebruik van de "beta" benaming, zoals het ook deed met Gmail. "Het is gewoon onacceptabel om de lijn tussen beta en stabiele versie te vervagen. Hoe kunnen gebruikers anders bepalen wat voor productie geschikt is en wat niet?"

Eigenwijs

Wie absoluut niet over Chrome en Google's aanpak te spreken is, is onderzoeker Robert Hansen, beter bekend als RSnake. "Er is een fundamentele regel in cryptografie: Verzin het nooit zelf, de kansen dat je het verkeerd hebt zijn veel groter dan dat het je wel lukt." Google had volgens Hansen de browser niet in het geheim moeten ontwikkelen. "Je krijgt dan niet de voordelen en kennis van de slimme mensen die al voor je zijn geweest." Chrome mag dan opensource zijn, net zoals Firefox, maar Mozilla's browser kwam uiteindelijk voort uit Netscape, dat al ruime ervaring met browsers had. Google laat inmiddels weten dat het door de Vietnamezen gevonden lek, binnenkort via de automatische update functie zal patchen.

Hieronder een overzicht van de verschillende exploits die binnen 3 dagen werden ontdekt:

Reacties (24)
06-09-2008, 12:41 door bortk
Heb er zojuist nog een gevonden. Typ maar eens in de locatiebalk: view-source:%
Op het moment dat je de % intypt crasht de browser.
06-09-2008, 13:07 door Anoniem
"zal binnenkort via de automatische update worden gepatcht" - wie zei er ook weer iets over de patches van Microsoft? Google zou het zoveel beter doen? Niet dus. Nee, voor mij is dit het lachertje van het jaar geworden.
06-09-2008, 13:13 door Zipper306
Als Google zo door gaat is het verwachten, dat er binnenkort een versie van die Crome browser verschijnt die zowel Internet Explorer en Firefox van je computer verwijderd. ( ongemerkt )
Google wil toch alles van iedereen weten, en dat kan alleen maar als iedereen de browser van Google gebruikt.

Ik zie ze hiertoe instaat.
06-09-2008, 14:11 door Anoniem
Gebruik gewoon Opera en het komt goed ^^.
06-09-2008, 15:18 door Anoniem
@ Zipper306:

Je zet toch zeker wel je zilverpapier hoedje op, alvorens je voor de kompjoeter gaat zitten he?

Ik denk dat het zo'n vaart niet zal lopen.

Groet ML2MST
06-09-2008, 17:25 door Anoniem
Wanneer je Chrome wilt downloaden met IE dan heb je pech; de uitleg op http://www.google.com/chrome/thankyou.html?hl=nl&brand=CHMI&utm_source=nl-et&utm_medium=et&utm_campaign=nl beschrijft alleen wat nodig is onder Firefox. Maarja, wie eenmaal met IE gewerkt heeft, wil nooit meer wat anders. Kwaliteit heb je nu eenmaal niet voor niets. Open source is leuk voor hobbyisten, meer niet.
06-09-2008, 18:56 door Zipper306
Nee, ik gebruik gewoon IE8 en vuurvos
Geen Opera dus
06-09-2008, 19:59 door Anoniem
Alle in dit artikel genoemde bugs zijn al gepatcht. Werkt nu allemaal flawless. ik heb btw niet eens gemerkt dat ie aan het updaten was.
06-09-2008, 20:02 door [Account Verwijderd]
[Verwijderd]
06-09-2008, 20:14 door Zarco.nl
Vreemd, een paar dagen terug voerde de URL view-source:javascript:alert('Javascript') Javascript uit, wat niet helemaal netjes is, omdat je zo mogelijk sommige Javascriptfilters kan omzeilen.
Echter, nu lijkt het niet meer te werken bij mij...
06-09-2008, 21:50 door Anoniem
Gewoon firefox of ie8 gebruiken; dan heb je een echte brower en geen keylogger zoals chrome.
06-09-2008, 22:03 door Nomen Nescio
Door D3nn3Google heeft de verkeerde naam gekozen voor hun browser, ik zou het meer Krom noemen ;-) want als ik het zo lees is er nog een lange weg te gaan om dit recht te zetten. En welk recht hebben ze eigenlijk over de privacy van de gebruiker ?!

FF is nog altijd de beste :) en Opera daarna ...
FF wordt anders wel door Google betaald. Niet erg betrouwbaar dus. Wat moeten ze als tegenprestatie aan Google doorgeven? Nee, geef mij maar IE8.
07-09-2008, 03:06 door Anoniem
Door bortkHeb er zojuist nog een gevonden. Typ maar eens in de locatiebalk: view-source:%
Op het moment dat je de % intypt crasht de browser.
Dat is een bug, geen beveiligingprobleem. Beschikbaarheid is wel een van de pilaren van beveiliging, maar een gebruiker die zelf zijn browser laat crashen is wel van heel andere orde dan het laten crashen waarbij derden dan controle over het systeem krijgen.
Maar als het je lukt om de browser te crashen via die view-source:% als iframe src... dan is het al wat meer.
07-09-2008, 09:08 door spatieman
laten we eerst eens de volgende beta afwachten voor we verder gaan klagen.
ik gebruik gewoon firefox, iedereen moet zelf weten welke browser hij gebruikt.
Chrome is leuk om in een virtuele omgeving mee te spelen, voor je het ding echt gaat gebruiken.
Maarja, dat deed ik met firefox ook al..
07-09-2008, 15:34 door Anoniem
Ik hoor eigenlijk niks over de browers K-mellon en of seamonkey
Zijn die dan zo slecht , of gewoon niet bekend.?
08-09-2008, 10:23 door Anoniem
Door AnoniemIk hoor eigenlijk niks over de browers K-mellon en of seamonkey
Zijn die dan zo slecht , of gewoon niet bekend.?

Zover ik weet zijn die beiden gebaseerd op de Mozilla Gecko engine en werken feitelijk hetzelfde als Firefox zelf, alleen een wat andere gebruikersinterface.
08-09-2008, 16:08 door Anoniem
A. view-source:% Doet dus helemaal nix, de pagina blijft gewoon blanco. Op XP/eBox/Chrome0.2.149.29

B. Net even mijn bankzaken gedaan en daarna zoals aangegeven gezocht op: "rekening", "Saldo" & "bank" om te zien wat er LOKAAL in mijn eigen Cache staat.
De eerste keer niet in 'privacy mode', de tweede keer wel.
Resultaat:
B1. Nix noppes nada, natuurlijk krijg ik de eerste pag van de Rabobank, maar geen enkele pagina daarna.
B2. Nix noppes nada, wel krijg ik nu (vreemd genoeg) wel een aantal startpags, dus ook die van het inloggen, maar zonder gegevens.

Je kan er dus nix mee, ook niet met de LOKAAL opgeslagen data uit je browser cache (iets dat iedere browser doet en waarvoor vele tooltjes bestaan om die uit te lezen).

Het geheel is dus allemaal M$-FUD, begrijpelijk want M$ heeft haar langste tijd gehad en in haar doodstrijd zullen er nog wel meer mensen door het lint gaan.
Jammer dat de div websites die vroeger serieus waren mee doen aan deze hype-FUD omdat het nu eenmaal veel clicks oplevert en zo dus weer veel advertentie-inkomsten, van Google notabene.

Van de reaguurders is bekend dat ze liever blaten, napapagaaien en FUD verspreiden dan dat ze zelf even iets onderzoeken of testen.
Triest is het wel.
08-09-2008, 16:19 door Anoniem
Door Nomen Nescio
Door D3nn3Google heeft de verkeerde naam gekozen voor hun browser, ik zou het meer Krom noemen ;-) want als ik het zo lees is er nog een lange weg te gaan om dit recht te zetten. En welk recht hebben ze eigenlijk over de privacy van de gebruiker ?!

FF is nog altijd de beste :) en Opera daarna ...
FF wordt anders wel door Google betaald. Niet erg betrouwbaar dus. Wat moeten ze als tegenprestatie aan Google doorgeven? Nee, geef mij maar IE8.

IE8 wordt door Microsoft betaald, een meervoudig veroordeelde club criminelen, dus als je dan het geld wilt volgen... sja. Anders maar Epiphany? Konqueror? Of toch weer gewoon w3m of links?
08-09-2008, 16:34 door Eerde
view-source:%
Doet dus helemaal nix, de pagina blijft gewoon blanco. Op XP/eBox/Chrome0.2.149.29
02-10-2008, 11:37 door Anoniem
Ik krijg de indruk dat IE lang nog niet zo slecht is als de tegenstanders van MS beweren.
Al dat open source spul blijkt het ene lek na het andere lek te hebben.
23-11-2008, 04:36 door Anoniem
raar hoor bij mij doet hij alles wat hij moet doen zonder problemen.(google crome) bedoel ik dan he.
04-02-2009, 15:18 door Anoniem
Enige reden wrm ik google chrome gebruik is omdat hij razendsnel opstart!
28-02-2009, 00:39 door Anoniem
Google Chrome is inderdaad retesnel, maar mist zoveel plug-ins (bv. betaalsites zoals paypal). De huidige versie is echt waardeloos en ik vermoed dat de uiteindelijke versie net zo goed en net zo traag wordt als ie/firefox/etc.

Met die verwachting zit er ook wel een kans in dat ze het hele verhaal in de vriezer leggen en we er niks meer over horen. Ik denk dus niet dat dit DE nieuwe browser wordt :)
27-11-2009, 16:26 door Anoniem
mensen, dit is een BETA, dat betekent dat het nog niet in de definitieve fase zit, jullie geven hem niet eens een kans. verder worden alle fouten snel verbeterd en upgedate.
ik begon een paar weken geleden met google chrome, hij liep vaak vast op bepaalde sites, en nu loopt hij op al die sites niet meer vast, zo zie je dat ze hard bezig zijn met verbeteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure