image

Google dicht beveiligingslekken in Chrome

woensdag 29 april 2015, 11:36 door Redactie, 5 reacties

Er is een nieuwe versie van Google Chrome verschenen waarin vijf beveiligingslekken zijn gepatcht. Via de kwetsbaarheden kon een aanvaller vertrouwelijke gegevens van andere websites lezen of aanpassen. Het was niet mogelijk om bijvoorbeeld de computer over te nemen, zoals bij "kritieke" lekken het geval is.

Eén van de kwetsbaarheden werd door een externe beveiligingsonderzoeker ontdekt. Die krijgt hier een beloning voor, maar Google heeft nog niet bekendgemaakt wat het bedrag is. Updaten naar Chrome 42.0.2311.135 zal in de meeste gevallen geheel automatisch gaan.

Reacties (5)
29-04-2015, 12:32 door [Account Verwijderd]
[Verwijderd]
29-04-2015, 13:13 door Anoniem
Door Anak Krakatau: ze willen eerst bij google dat iedereen de patch voor chrome installeert. dan pas maken ze alle vulnerabilities bekend.
Nee, dat is niet waar. Bij (Google) Chrome/Chromium worden het 'type' lekker altijd meteen bekend gemaakt, enkel de details en het originele report zijn langer non-public. Veel andere bedrijven geven helemaal geen (technishe details/code/ report)
29-04-2015, 13:16 door Eric-Jan H te D
"Automatisch" wanneer niet één of ander optimize-programma de update-taak heeft uitgeschakeld.
Rest daarna nog slechts een herstart van Chrome.
29-04-2015, 17:44 door [Account Verwijderd] - Bijgewerkt: 29-04-2015, 17:47
[Verwijderd]
02-05-2015, 08:49 door Anoniem
Door Anak Krakatau:
Door Anoniem:
Door Anak Krakatau: ze willen eerst bij google dat iedereen de patch voor chrome installeert. dan pas maken ze alle vulnerabilities bekend.
Nee, dat is niet waar. Bij (Google) Chrome/Chromium worden het 'type' lekker altijd meteen bekend gemaakt, enkel de details en het originele report zijn langer non-public. Veel andere bedrijven geven helemaal geen (technishe details/code/ report)
nee, dat is niet waar. want wat lees ik op de site van google?

Note: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.
Precies zoals ik zij, je kunt zien wat voor bug het geweest is:
$TBD][453279] High CVE-2015-1243: Use-after-free in DOM.Credit to Saif El-Sherei.
Dat is de informatie die de meeste bedrijven als maximum hanteren.
Als je dat tracker nummer even bewaart, en over 2-3 maanden nog een keer kijkt zul je zien dat het raport gewoon public is geworden. Ook is de source code change/diff van de fix voor deze bug gewoon public.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.