Google verwijdert DigiNotar uit Chrome
Google heeft een nieuwe versie van Chrome gelanceerd, waarbij de Nederlandse certificate authority (CA) DigiNotar uit de browser is verwijderd. Het bedrijf ontdekte op 19 juli een aanval waarbij er verschillende certificaten waren aangevraagd. Een externe audit zou vervolgens hebben aangetoond dat alle ten onrechte uitgegeven certificaten waren ingetrokken, maar dat bleek niet zo te zijn. Tenminste één certificaat voor *.google.com werkte nog steeds en zou actief tegen Iraanse Gmail-gebruikers zijn ingezet.
Google, Mozilla en Microsoft besloten DigiNotar daarom uit de browser te verwijderen, wat middels een update nu voor Chrome is gebeurd. Dit lijkt geen gevolgen voor DigiD.nl te hebben, aangezien de website met de nieuwe Chrome-versie nog steeds prima werkt. Hetzelfde geldt voor "nightly build" van Firefox, die het nu ook weer doet, in tegenstelling tot gisteren. Wie op DigiD probeert in te loggen doet dit nu vanaf as.digid.nl, terwijl dat gisteren nog applicaties.digid.nl was.
Mozilla laat weten dat de aankomende Firefox-versie alleen het vertrouwen in DigiNotar Root CA opzegt, maar niet in de certificaten die DigiNotar als onderdeel van de Staat der Nederlanden PKI (PKIoverheid) heeft uitgegeven, die onderdeel van een andere root zijn. Dit is het geval bij het Digid.nl SSL-certificaat.
Flash Player
Verder bevat Chrome 13.0.782.218 voor Windows, Mac, Linux en Chrome Frame een bijgewerkte Flash Player. Of hierin ook beveiligingslekken zijn verholpen laat Google niet weten.
Op de advisory pagina van Adobe wordt niets vermeld en het bedrijf heeft ook niet aangekondigd dat het kwetsbaarheden in Flash zou patchen. Toch komt het ook voor dat Google lekken in de ingebouwde Flash Player eerder verhelpt dan Adobe in de reguliere versie van het programma doet.
das ist ja uncool.
Verder bevat Chrome 13.0.782.218 voor Windows, Mac, Linux en Chrome Frame een bijgewerkte Flash Player. Of hierin ook beveiligingslekken zijn verholpen laat Google niet weten.
Op de advisory pagina van Adobe wordt niets vermeld en het bedrijf heeft ook niet aangekondigd dat het kwetsbaarheden in Flash zou patchen. Toch komt het ook voor dat Google lekken in de ingebouwde Flash Player eerder verhelpt dan Adobe in de reguliere versie van het programma doet.
Mogelijk gaat het om het equivalent van de update naar versie 10.3.183.7, die vorige week verscheen voor andere browsers dan Chrome. Dat betreft een non-security update.
Zie:
http://www.adobe.com/support/documentation/en/flashplayer/releasenotes.html
--> http://kb2.adobe.com/cps/901/cpsid_90194.html
--> http://kb2.adobe.com/cps/901/cpsid_90194.html#main_10.3.183.7
en http://www.adobe.com/nl/software/flash/about/
Aanvulling 11:04: overigens een ZEER SCARY HACK in de sourcecode van Firefox. Ik heb nu geen tijd om er in te duiken maar ik sluit niet uit dat zo ongeldige certificaten waar bepaalde gegevens in voorkomen alsnog worden geaccepteerd. Hopelijk hebben ze hier heel goed over nagedacht!
Aanvulling 14:21: ter verduidelijking: dan bedoel ik niet alleen valse DigiNotar certificaten, maar willekeurige valse.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
