image

Chrome 67 geeft meer gebruikers optie die tegen Spectre beschermt

woensdag 30 mei 2018, 10:17 door Redactie, 3 reacties

Google heeft een nieuwe versie van Chrome gelanceerd die meerdere kwetsbaarheden verhelpt en een belangrijke beveiligingsoptie voor meer gebruikers beschikbaar maakt. In Chrome 67 zijn in totaal 34 kwetsbaarheden verholpen waardoor een aanvaller in het ergste geval code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen.

Voor het melden van de kwetsbaarheden betaalde Google externe onderzoekers een bedrag van 32.500 dollar. Het uiteindelijke bedrag voor Chrome 67 zal hoger uitvallen, aangezien de beloning voor verschillende kwetsbaarheden nog niet is bepaald. In de nieuwste versie van Googles browser is daarnaast de beveiligingsfeature genaamd Site Isolation voor meer gebruikers beschikbaar gemaakt. De feature werd al in Chrome 63 geïntroduceerd, maar was toen door een beperkt aantal gebruikers te gebruiken.

Site Isolation zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden, aldus Google. Een nadeel van deze maatregel is wel dat het geheugengebruik met 10 tot 20 procent kan toenemen. Site Isolation kan voor alle websites en per website worden ingesteld. Google merkt op dat de maatregel ook tegen Spectre-aanvallen bescherming biedt.

Public key pinning

Verder is in Chrome 67 http-gebaseerde public key pinning verwijderd, een maatregel die gebruikers tegen man-in-the-middle-aanvallen moet beschermen. Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven. Certificaten die door andere certificaatautoriteiten zijn uitgeven worden dan niet meer vertrouwd. De hack in 2011 van de inmiddels failliete Nederlandse certificaatautoriteit DigiNotar werd via public key pinning ontdekt.

Volgens Google maken webmasters en domeineigenaren echter weinig gebruik van public key pinning. Dit komt mede doordat de maatregel lastig is te gebruiken en die ervoor kan zorgen dat websites onbruikbaar worden. Google is dan ook van plan om de ondersteuning van public key pinning af te bouwen en uiteindelijk helemaal te verwijderen. Daarom is de ondersteuning van http public key pinning, waarbij er met dynamische 'pins' wordt gewerkt, in Chrome 67 uitgefaseerd.

Uiteindelijk zal ook de ondersteuning van statistische pins worden gestopt. In plaats van public key pinning wil Google voor alle publiek vertrouwde certificaten op een andere techniek genaamd certificaattransparantie overstappen. Updaten naar Chrome 67.0.3396.62 zal op de meeste systemen automatisch gebeuren.

Reacties (3)
31-05-2018, 08:04 door Anoniem
Sinds deze update zie ik in het taakbeheer (van Chrome) dat bepaalde cookies van derden niet meer wordt geblokkeerd. De instellingen staan nog goed. Hebben anderen dit probleem ook?
31-05-2018, 09:18 door Anoniem
Een aanvulling: Als ik via het slotje de gebruikte en geblokkeerde cookies bekijk, lijkt alles te werken. Maar via het taakbeheer van Chrome zie ik dat er toch verschillende subframes geopend worden. Het gaat dan om cookies van bijvoorbeeld doubleclick, channel.me, optimizely, terwijl andere cookies van derden wel gewoon geblokkeerd worden.
31-05-2018, 21:13 door Anoniem
Via public key pinning kunnen eigenaren van websites aangeven welke certificaatautoriteiten voor hun domeinnaam een certificaat mogen uitgeven.
Hier worden een paar dingen doorelkaar gehaald. "Welke certificaatautoriteiten voor een domeinnaam een certificaat mogen uitgeven" werkt via een CAA record in DNS en is wat anders dan "HTTP Public Key Pinning".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.