Google gaat Chrome beter tegen hackers wapenen
Google heeft ook de drie zero-day lekken die een tiener in de browser vond gepatcht, maar dit is een tijdelijke oplossing. Deze week organiseerde de zoekgigant de Pwnium competitie, waarbij hackers 1 miljoen dollar konden verdienen met het vinden van lekken in Chrome. Als eerste lukte het de Russische beveiligingsonderzoeker Sergey Glazunov om uit de browser te breken en willekeurige code op de gebruikte Windows 7-installatie uit te voeren.
Op de laatste dag van de wedstrijd was het een tiener genaamd "PinkiePie", die maar liefst drie kwetsbaarheden in de browser aan elkaar reeg om uit de sandbox te ontsnappen en willekeurige code uit te voeren. PinkiePie had geen toestemming van zijn werkgever gekregen om aan de competitie deel te nemen en wil daarom anoniem blijven. Net als met de lekken van Glazunov werden ook de door PinkiePie ontdekte kwetsbaarheden binnen een dag opgelost. Google had hiervoor verschillende teams klaarzitten.
Aanvulling
De zoekgigant is zeer te spreken, maar merkt op dat de patches geen sluitstuk zijn. Voor zowel de lekken van Glazunov als PinkiePie zal Google in de nabije toekomst aanvullende aanpassingen en 'hardening' maatregelen doorvoeren die Chrome beter tegen hackers moet beschermen.
Ook zal Google een analyse van de twee aanvallen publiceren. "Beide inzendingen zijn kunstwerken en verdienen een grotere erkenning", zegt Jason Kersey van het Google Chrome Team. Chrome-gebruikers zullen automatisch naar de nieuwe versie 17.0.963.79 worden geüpgraded.
VUPEN
De enige lekken die nog niet gepatcht zijn, zijn die het Franse beveiligingsbedrijf VUPEN vond. De Fransen wisten ook uit de sandbox te breken en willekeurige code uit te voeren. VUPEN deed echter aan de Pwn2Own hackerwedstrijd mee. Daardoor krijgt Google alleen de details van het lek om code op het systeem uit te voeren, en wordt niet verteld hoe de Fransen uit de sandbox wisten te ontsnappen.
"Alleen als VUPEN aan Google vertelt wat de exploit is. Tot dan moet je aannemen dat VUPEN ze bij niet nader genoemde overheidsinstanties probeert te verkopen", aldus een reactie op de nieuwe Chrome-versie.
Maar 't was toch al Prefect!!!
Lekker verder blind staren op software methodes die gewoon structureel niet deugen..
Hoorde het vandaag van een vriend me,die had er ook last van....en volgens hem is Mozilla nu ook verziekt....
Hoorde het vandaag van een vriend me,die had er ook last van....en volgens hem is Mozilla nu ook verziekt....
Ik heb in geen jaren een vastloper gehad maar sinds de laatste update van Chrome is er wat aan de hand. Ik had 8 tabs openstaan en heel mijn computer liep vast. Veel crashes ook in Chrome van flash en dergelijke. Leuk die updates maar volgens mij gaat het ten koste van het geheugen verkeerd aanspreken.
Op YouTube zie ik telkens van die lichtflitsen over het scherm (sinds 3 weken). Ligt dat nu aan Flash ?? Zelf gebruik ik Firefox en daarmee heb ik geen vastlopers gehad, maar enkel in YouTube videos.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
