image

Google verhelpt opnieuw ernstig beveiligingslek in Chrome

donderdag 19 september 2019, 09:36 door Redactie, 6 reacties

Google heeft voor de tweede keer in nog geen twee weken tijd een ernstig beveiligingslek in de desktopversie van Chrome gepatcht waardoor een aanvaller het onderliggende systeem had kunnen overnemen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. Er zou geen verdere interactie van de gebruiker zijn vereist.

In tegenstelling tot andere browsers worden ernstige kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Inclusief deze kwetsbaarheid zijn er dit jaar pas drie van dergelijke lekken gevonden. Vorig jaar ging het om vier lekken, een "recordaantal" voor de browser. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden.

De nu verholpen ernstige kwetsbaarheid bevindt zich in de gebruikersinterface. Verdere details zijn niet gegeven. Het beveiligingslek werd ontdekt door onderzoeker Khalil Zhani. Hoeveel Google de onderzoeker zal betalen voor de melding van het lek is nog niet bekend. Op 10 september kwam Google met een update voor een andere ernstige kwetsbaarheid in Chrome. Ook de beloning voor de onderzoeker die dit probleem rapporteerde is nog niet bekendgemaakt.

Verder zijn er in Chrome 77.0.3865.90 drie andere kwetsbaarheden verholpen waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren.

Reacties (6)
19-09-2019, 09:58 door Anoniem
Nou begint toch wel aardig zo gatenkaas als windows te worden nu ook weer de Joker malware in de Playstore .
Het blijft wel stil nu door die Google adepten die vroegers altijd Microsoft zaten te bashen hier.
19-09-2019, 11:03 door [Account Verwijderd] - Bijgewerkt: 19-09-2019, 11:04
Hoewel Chrome en zijn basis Chromium sandboxed zijn, (Test url in beide browsers: chrome://sandbox/) is een aanvullende beveiliging wel aan te raden. In Linux kun je dat bijvoorbeeld doen met Firejail. Na de installatie van Firejail een starter maken met bijvoorbeeld voor Chromium de volgende code: firejail chromium-browser %U
Eenvoudig testen of het werkt kun je doen door bijv een .pdf te downloaden. De opslaglocatie kiezen lukt dan niet. Alles komt per definitie in de downloadmap.

Hoe je in Windows of MacOs dit kunt bereiken weet ik niet, daar heb ik geen ervaring mee. Misschien zijn er mensen die deze aanvullende informatie hier willen posten?
Elke suggestie komt onze internet veiligheid ten goede!
19-09-2019, 11:42 door Anoniem
Door Wilbert Wintergaard: Hoewel Chrome en zijn basis Chromium sandboxed zijn, (Test url in beide browsers: chrome://sandbox/) is een aanvullende beveiliging wel aan te raden. In Linux kun je dat bijvoorbeeld doen met Firejail. Na de installatie van Firejail een starter maken met bijvoorbeeld voor Chromium de volgende code: firejail chromium-browser %U
Eenvoudig testen of het werkt kun je doen door bijv een .pdf te downloaden. De opslaglocatie kiezen lukt dan niet. Alles komt per definitie in de downloadmap.

Hoe je in Windows of MacOs dit kunt bereiken weet ik niet, daar heb ik geen ervaring mee. Misschien zijn er mensen die deze aanvullende informatie hier willen posten?
Elke suggestie komt onze internet veiligheid ten goede!

Edge (en IE) zijn al tijden lang ook ge-sandboxed. Sterker, Edge bestaat uit 6 of 7 aparte processen in aparte sandboxjes.
Mooi uitgelegd in deze Ignite sessie: https://channel9.msdn.com/Events/Ignite/2016/BRK2144

Daarnaast kan je op Windows 10 Edge in een aparte VM laten draaien (met Windows Defender Application Guard).
19-09-2019, 12:23 door Anoniem
Door Anoniem: Nou begint toch wel aardig zo gatenkaas als windows te worden nu ook weer de Joker malware in de Playstore .
Het blijft wel stil nu door die Google adepten die vroegers altijd Microsoft zaten te bashen hier.
Het is daarom eerlijker om gewoon toe te geven dat elke code fouten bevat.
Dat is namelijk wel zo logisch.

Mensen kunnen namelijk fouten maken, dus vind je dit terug in de code.
19-09-2019, 16:26 door Anoniem
Wel blij met VoodooShield in combinatie met deze browser, stopt dit wel af.

luntrus
19-09-2019, 22:53 door Anoniem
Door Wilbert Wintergaard: Hoewel Chrome en zijn basis Chromium sandboxed zijn, (Test url in beide browsers: chrome://sandbox/) is een aanvullende beveiliging wel aan te raden. In Linux kun je dat bijvoorbeeld doen met Firejail. Na de installatie van Firejail een starter maken met bijvoorbeeld voor Chromium de volgende code: firejail chromium-browser %U
Eenvoudig testen of het werkt kun je doen door bijv een .pdf te downloaden. De opslaglocatie kiezen lukt dan niet. Alles komt per definitie in de downloadmap.

Hoe je in Windows of MacOs dit kunt bereiken weet ik niet, daar heb ik geen ervaring mee. Misschien zijn er mensen die deze aanvullende informatie hier willen posten?
Elke suggestie komt onze internet veiligheid ten goede!

Onder MS Windows is Sandboxie een fijne.

https://www.sandboxie.com/GettingStarted
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.