Nieuws

Google Chrome opnieuw kwetsbaar door "patch-gap"

dinsdag 10 september 2019, 10:06 door Redactie, 12 reacties

Laatst bijgewerkt: 10-09-2019, 14:42

Google Chrome is opnieuw kwetsbaar wegens een "patch-gap" in de JavaScript-engine die de browser gebruikt, zo stelt onderzoeker István Kurucsai van securitybedrijf Exodus Intelligence. Er is sprake van een patch-gap wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken.

In het geval van Google Chrome speelt het probleem bij de V8 JavaScript-engine waar de browser gebruik van maakt. Een kwetsbaarheid in dit opensource-onderdeel werd halverwege augustus gepatcht. De oplossing voor Google Chrome zal later vandaag pas verschijnen. Aanvallers kunnen het tijdsvenster tussen de opensourcepatch en Chrome-patch misbruiken om een exploit te ontwikkelen en zo gebruikers aan te vallen.

Via de kwetsbaarheid in de JavaScript-engine kan een aanvaller willekeurige code uitvoeren. Om het onderliggende systeem over te nemen is er echter een tweede kwetsbaarheid vereist om uit de sandbox van Chrome te breken. Gebruikers kunnen in afwachting van de update het uitvoeren van JavaScript in de browser uitschakelen. In april ontdekte Kurucsai ook al een patch-gap dat door de V8-engine werd veroorzaakt en eind augustus stelde ook Google dat er door de JavaScript-engine een patch-gat was ontstaan.

Minister: aanpassingen nodig om verdachten via 5G te vinden

Telegram verhelpt probleem met verwijderen van afbeeldingen

Reacties (12)

10-09-2019, 10:33 door Anoniem

het blijft stil ineens bij al die Google Chrome adepten .

10-09-2019, 11:14 door Anoniem

Door Anoniem: het blijft stil ineens bij al die Google Chrome adepten .

Waarom? Google heeft een fout gemaakt/begaan.

Zoals menige software leveranciers.

En er komt vandaag een update (geeft het artikel aan).

Wil je zeuren om te zeuren?

10-09-2019, 11:26 door Anoniem

JavaScript issue met tagged foo object back-up.

10-09-2019, 11:26 door Anoniem

Betekent dit dat Chrome OS ook kwetsbaar is?

10-09-2019, 11:45 door Anoniem

Dat is gewoon een slecht releasebeleid. Bij bijvoorbeeld Mozilla worden security updates zo snel mogelijk aangeboden, op beide de consumenten en LTS versie. Er wordt dan niet gewacht tot er een feature release komt.

10-09-2019, 13:28 door Anoniem

Waarom heeft Google dit lek niet ZELF in hun eigen product gevonden en groot in het nieuws gebracht?

10-09-2019, 14:24 door Anoniem

is het alweer zover?

10-09-2019, 20:29 door Anoniem

Door Anoniem: Waarom heeft Google dit lek niet ZELF in hun eigen product gevonden en groot in het nieuws gebracht?

Omdat ze dat alleen bij concurenten doen om deze zo een slechte naam proberen te bezorgen.
Wijs vooral naar een ander en de rest van de wereld krijgt een middelvinger bij Google.

10-09-2019, 20:32 door Anoniem

Een opensource brouwser zou nu al gepatched zijn maar ja, die closed source boeren zijn altijd wat later.

11-09-2019, 07:59 door [Account Verwijderd] - Bijgewerkt: 11-09-2019, 08:06

Door Anoniem: het blijft stil ineens bij al die Google Chrome adepten .

Is er een probleem dan? Ik lees "Via de kwetsbaarheid in de JavaScript-engine kan een aanvaller willekeurige code uitvoeren. Om het onderliggende systeem over te nemen is er echter een tweede kwetsbaarheid vereist om uit de sandbox van Chrome te breken." dus ik snap deze prioriteitstelling van Google best wel.

Door Anoniem: Waarom heeft Google dit lek niet ZELF in hun eigen product gevonden en groot in het nieuws gebracht?

Dat hebben ze gedaan (want die V8 JavaScript engine is van Google).

https://v8.dev/

11-09-2019, 09:59 door Anoniem

Google beweegt net AMP HTML weg van JavaScript. De AMP pagina wordt razendsnel voorgeladen, maar niet als uri getoond.

De goegemeente denkt dus op het echte webpagina-adres te zitten.
Blokkeren van iFrame gelanceerde ads is zo flink moeilijker.

Winst-winst situatie voor de mega adboer Google.
Voor de ranking moet dus ieder aan de AMP.
Wat een "floepers", die Google Bijbuigers.

Jodocus Oyevaer

11-09-2019, 15:30 door Anoniem

Ga maar maar de online Google Search Control AMP test.
De eventuele AMP HTML pagina is daar in te zien.
Google zal ons steeds vaker door coderingshoepeltjes laten springen. Zoveel is wel zeker.
Monocultures a la Google zijn a priori kwetsbaar.
Alle cyber-vingers wijzen immers dan maar Kw*ty*.
luntrus

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer