image

Google vergat gepatchte Chrome-lekken 'per ongeluk' te melden

woensdag 1 mei 2019, 14:21 door Redactie, 8 reacties

Google heeft twee beveiligingslekken in Chrome waardoor een aanvaller het onderliggende systeem had kunnen overnemen 'per ongeluk' vergeten te melden toen de beveiligingsupdate verscheen. Dat heeft de internetgigant laten weten bij de release van een nieuwe Chrome-versie.

De nieuwe Chrome-versie die gisterenavond verscheen verhelpt twee kwetsbaarheden waarvan de impact beperkt is. In de aankondiging meldt Google dat het in vorige Chrome-versies twee beveiligingslekken heeft verholpen, maar die destijds bij vergissing heeft weggelaten. Volgens onderzoeker Ned Williamson, die in het verleden verschillende ernstige kwetsbaarheden in Chrome ontdekte, gaat het om een "full chain exploit" waardoor een aanvaller willekeurige code op het onderliggende systeem kan uitvoeren. De onderzoeker die de twee beveiligingslekken ontdekte ontving van Google voor zijn melding bijna 26.000 dollar.

In maart bleek dat Google ook al een keer informatie in een beveiligingsbulletin voor Chrome achterwege had gelaten. Destijds ging het om de melding dat een kwetsbaarheid in combinatie met een Windows-lek werd gebruikt om Chrome-gebruikers op 32-bit versies van Windows 7 aan te vallen.

Reacties (8)
01-05-2019, 15:59 door Anoniem
Het is natuurlijk ook helemaal niet interessant om fouten in je eigen producten te zoeken en te melden.
Zelfs niet als je een door jezelf benoemde bughuntings autoriteit bent.

Het is VEEL interessanter om teams aan het werk te zetten om fouten in andermans software te zoeken en te kunnen melden.

Moddergooien rules!

Zo kleuterklas is weer voorbij.
01-05-2019, 16:51 door Anoniem
Natuurlijk vergeten omdat ze te druk zijn met andere softwareleveranciers in een kwaad daglicht te stellen.
02-05-2019, 07:28 door Anoniem
Nee dit is mogelijk niet gemeld om te voorkomen dat er op grote schaal misbruik van gemaakt gaat worden voordat de fix goed en wel uitgerold is.
02-05-2019, 08:57 door Anoniem
Datzelfde Google heeft anders geen problemen om als het om lekken van andere Software bedrijven gaat om deze MET proof-of-concept and how-to in het openbaar te brengen.

Iets met meten met verschillende maten…….
02-05-2019, 09:20 door Anoniem
Ach, je kan het ook op de Nintendo manier doen en het op die manier melden.

"Further improvements to overall stability and other minor adjustments have been made to enhance the user's experience."

Dan kan je niks zo snel vergeten XD en weet een willekeurige hacker niet wat de lekken precies zijn.
02-05-2019, 10:15 door Anoniem
Het mooie is dat ze het blijkbaar wel oplossen en in de gestelde responsible disclosureperiode.

Ze geven andere leveranciers ook de tijd om in een responsible disclosureperiode de zaak op te lossen. Dat gebeurt vaak niet en dan publiceren ze dat. Gewone werkwijze.
02-05-2019, 11:57 door Anoniem
Prachtig al die reaguurders die nooit wat vergeten
02-05-2019, 12:05 door Anoniem
Door Anoniem: Het mooie is dat ze het blijkbaar wel oplossen en in de gestelde responsible disclosureperiode.

Ze geven andere leveranciers ook de tijd om in een responsible disclosureperiode de zaak op te lossen. Dat gebeurt vaak niet en dan publiceren ze dat. Gewone werkwijze.

Ik zou het artikel even lezen en kan je aanraden posts over Google en hun disclosure van lekken van andere softwarebedrijven wat vaker te lezen ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.