image

Google dicht opnieuw ernstig beveiligingslek in Chrome

zaterdag 28 april 2018, 08:11 door Redactie, 13 reacties

Google heeft opnieuw een ernstig beveiligingslek in de desktopversie van Chrome gepatcht waarmee een aanvaller het onderliggende systeem had kunnen overnemen. Vorige week verscheen er ook al een update, toen voor twee ernstige kwetsbaarheden in de Disk Cache-functie van de browser.

Dit keer zat het beveiligingslek in de Media Cache-functie van Chrome. De browser maakt hier gebruik van voor het cachen van mediabestanden. De drie kwetsbaarheden werden door beveiligingsonderzoeker Ned Williamson ontdekt. Het lek in de Media Cache-functie werd op 12 april door hem aan Google gemeld. Voor zijn melding ontving hij een beloning van 10.500 dollar. De beloning voor de twee Disc Cache-lekken is nog niet bekendgemaakt. Ook zijn de details van de drie kwetsbaarheden nog niet vrijgegeven.

Via een ernstig beveiligingslek kan een aanvaller code op het onderliggende systeem uitvoeren en dat in theorie volledig overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website is dan voldoende. Er is geen verdere interactie van de gebruiker vereist. Dit soort beveiligingslekken worden geregeld in Edge, Firefox, Internet Explorer en Safari gevonden, maar zijn een zeldzaamheid in Chrome. In 2014 ging het in totaal om drie ernstige kwetsbaarheden in Googles browser en in 2015 werden er twee geteld. Een jaar later in 2016 werden er geen ernstige lekken gevonden en vorig jaar ging het er om drie. Dit jaar staat de teller ook al op drie. Updaten naar Chrome 66.0.3359.139 zal op de meeste systemen automatisch gebeuren.

Reacties (13)
28-04-2018, 09:01 door Anoniem
Het begint net zo gatenkaas als Windows vroeger te worden zeg . Al die Google Chrome adepten blijven opvallend stil de laatste tijden zie ook Android problemen fouten gaten .
28-04-2018, 10:48 door Anoniem
Door Anoniem: Het begint net zo gatenkaas als Windows vroeger te worden zeg . Al die Google Chrome adepten blijven opvallend stil de laatste tijden zie ook Android problemen fouten gaten .

Hou toch op, lees ook meteen even terug over iOS, MacOS, AMD, Intel.
Dit is de realiteit van Security, al jaren. Als je denkt dat dit iets nieuws is moet je toch echt een andere hobby gaan zoeken.
28-04-2018, 12:11 door Anoniem
Door Anoniem:
Door Anoniem: Het begint net zo gatenkaas als Windows vroeger te worden zeg . Al die Google Chrome adepten blijven opvallend stil de laatste tijden zie ook Android problemen fouten gaten .

Hou toch op, lees ook meteen even terug over iOS, MacOS, AMD, Intel.
Dit is de realiteit van Security, al jaren. Als je denkt dat dit iets nieuws is moet je toch echt een andere hobby gaan zoeken.

Ik vermoed dat zijn reactie niet was bedoeld om iets nieuws aan het licht te brengen, maar meer om even een snauw te geven naar al die personen die Windows afkraakten om de beveiliging en Google prezen. Wat dat betreft ben ik het met hem eens:)
28-04-2018, 13:39 door [Account Verwijderd] - Bijgewerkt: 28-04-2018, 13:47
Eerst voorop stellen dat ik Chrome niet gebruik maar Chromium als tweede browser in Linux en Xubuntu
---------------------------------------------------------------------
Als je beschouwt dat Chrome momenteel de browser is met de meeste gebruikers (zie: http://gs.statcounter.com/browser-market-share) vind ik het best knap dat er in relatieve verhouding hiertoe weinig kwetsbaarheden in kunnen worden gevonden.
Ik bedoel... Chrome moet welhaast een grote target zijn voor ShitWare compilers gezien het zeer grote aantal gebruikers. Het loont anders niet om kwetsbaarheden A: te gaan zoeken, en B: code te schrijven om deze kwetsbaarheden te exploiteren.

Nogmaals: hoewel ik Chrome niet gebruik, mijn zegen en complimenten hebben zij met hun dus toch wel als behoorlijk veilig te classificeren browser.
28-04-2018, 15:40 door Anoniem
Door Anoniem: Het begint net zo gatenkaas als Windows vroeger te worden zeg . Al die Google Chrome adepten blijven opvallend stil de laatste tijden zie ook Android problemen fouten gaten .

meer dan de kop lezen zeker is te veel moeite , als je even over chrome wilt plassen ?

"Dit soort beveiligingslekken worden geregeld in Edge, Firefox, Internet Explorer en Safari gevonden, maar zijn een zeldzaamheid in Chrome. In 2014 ging het in totaal om drie ernstige kwetsbaarheden in Googles browser en in 2015 werden er twee geteld. Een jaar later in 2016 werden er geen ernstige lekken gevonden en vorig jaar ging het er om drie. Dit jaar staat de teller ook al op drie."

En dat op een browser die zowel op basis van marktaandeel als op basis van serieuze bug bounties echt uitgebreid bekeken wordt.
28-04-2018, 16:27 door Anoniem
Als je Chrome onder een standaard gebruikersaccount draait, hoe kan je dan het systeem overnemen (= administrator zijn) middels een lek in Chrome? Chrome zelf kan immers uit zichzelf nooit meer rechten krijgen dan die het kreeg bij starten van Chrome tenzij er ook een lek in het OS bij komt kijken.
28-04-2018, 22:24 door Anoniem
Door Anoniem: Als je Chrome onder een standaard gebruikersaccount draait, hoe kan je dan het systeem overnemen (= administrator zijn) middels een lek in Chrome? Chrome zelf kan immers uit zichzelf nooit meer rechten krijgen dan die het kreeg bij starten van Chrome tenzij er ook een lek in het OS bij komt kijken.

Op zich is dat juist - maar alles dat uit de javascript sandbox van de browser ontsnapt is feitelijk Heel Slecht .
Alles wat belangrijk is voor de (enige) gebruiker van het systeem is toegankelijk voor die gebruiker van het systeem.
29-04-2018, 09:35 door Anoniem
Door Anoniem: Het begint net zo gatenkaas als Windows vroeger te worden zeg . Al die Google Chrome adepten blijven opvallend stil de laatste tijden zie ook Android problemen fouten gaten .
Tja, hackers richten nou eenmaal op populaire software waardoor er sneller beveiligingslekken worden gevonden. Het grote verschil is wel dat google de lekken sneller dicht dan microsoft. Ik veronderstel dat daarom chrome als veiligste browser wordt gezien, hoewel het je privacy schendt weet ik het verschil nu niet meer goed tussen een virus en chrome.
29-04-2018, 10:15 door Anoniem
Door Anoniem: Als je Chrome onder een standaard gebruikersaccount draait, hoe kan je dan het systeem overnemen (= administrator zijn) middels een lek in Chrome? Chrome zelf kan immers uit zichzelf nooit meer rechten krijgen dan die het kreeg bij starten van Chrome tenzij er ook een lek in het OS bij komt kijken.
Uit het artikel: "In Theorie".
Als je een standaard account hebt, lijkt me dus dat dit niet kan, tenzij er een privilage eacalation bug van je OS misbruikt wordt.
29-04-2018, 13:19 door Anoniem
Door Anoniem:
Door Anoniem: Het begint net zo gatenkaas als Windows vroeger te worden zeg . Al die Google Chrome adepten blijven opvallend stil de laatste tijden zie ook Android problemen fouten gaten .

meer dan de kop lezen zeker is te veel moeite , als je even over chrome wilt plassen ?

"Dit soort beveiligingslekken worden geregeld in Edge, Firefox, Internet Explorer en Safari gevonden, maar zijn een zeldzaamheid in Chrome. In 2014 ging het in totaal om drie ernstige kwetsbaarheden in Googles browser en in 2015 werden er twee geteld. Een jaar later in 2016 werden er geen ernstige lekken gevonden en vorig jaar ging het er om drie. Dit jaar staat de teller ook al op drie."

En dat op een browser die zowel op basis van marktaandeel als op basis van serieuze bug bounties echt uitgebreid bekeken wordt.

Browsers

Vorig jaar was Google Chrome nog de browser met de meeste kwetsbaarheden, Chrome (153) beveiligingslekken
29-04-2018, 13:52 door Anoniem
Door Aha: Eerst voorop stellen dat ik Chrome niet gebruik maar Chromium als tweede browser in Linux en Xubuntu
---------------------------------------------------------------------
Als je beschouwt dat Chrome momenteel de browser is met de meeste gebruikers (zie: http://gs.statcounter.com/browser-market-share) vind ik het best knap dat er in relatieve verhouding hiertoe weinig kwetsbaarheden in kunnen worden gevonden.
Ik bedoel... Chrome moet welhaast een grote target zijn voor ShitWare compilers gezien het zeer grote aantal gebruikers. Het loont anders niet om kwetsbaarheden A: te gaan zoeken, en B: code te schrijven om deze kwetsbaarheden te exploiteren.

Nogmaals: hoewel ik Chrome niet gebruik, mijn zegen en complimenten hebben zij met hun dus toch wel als behoorlijk veilig te classificeren browser.
Je hoeft je heus niet te verontschuldigen hoor dat je Chrome niet gebruikt :-) Verder ben ik het met je standpunt helemaal eens! Ik gebruik Chrome dus wel met trots :-) En dat mag iedereen weten!
29-04-2018, 20:41 door -karma4 - Bijgewerkt: 29-04-2018, 20:41
Door Anoniem: Vorig jaar was Google Chrome nog de browser met de meeste kwetsbaarheden, Chrome (153) beveiligingslekken

Nee. Met het grootste aantal tijdig gevonden én opgeloste problemen. Een goed kwaliteitsproces dus. Bij andere browsers worden dergelijke problemen niet gevonden (en waarschijnlijk allang misbruikt) of te laat.

Google Chrome staat bij vriend en vijand bekend als de veiligste browser.
02-05-2018, 21:21 door Legionnaire
Door The FOSS:
Door Anoniem: Vorig jaar was Google Chrome nog de browser met de meeste kwetsbaarheden, Chrome (153) beveiligingslekken

Nee. Met het grootste aantal tijdig gevonden én opgeloste problemen. Een goed kwaliteitsproces dus. Bij andere browsers worden dergelijke problemen niet gevonden (en waarschijnlijk allang misbruikt) of te laat.

Google Chrome staat bij vriend en vijand bekend als de veiligste browser.

Je bedoelt, dat Chrome bij vastgeroeste gebruikers en beginners bekend staat als de veiligste browser.

16 okt 2017...Edge browser verweg de veiligste. Tevens is op aanvraag Edge uitgebracht voor IOS en Android.

Laat het nou aan de enige echte software gigant over ipv zelf wat in elkaar te knoeien en steeds achter de feiten aan lopen.
Google Chrome kunnen ze beter Google Titanic noemen...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.