image

Google verhelpt 37 beveiligingslekken in Chrome

woensdag 23 oktober 2019, 10:31 door Redactie, 9 reacties

Er is een nieuwe versie van Google Chrome verschenen waarin 37 beveiligingslekken zijn verholpen. Ook is dit de eerste versie die Google zal gebruiken voor een publieke DNS over HTTPS (DoH)-test. De ernst van de verholpen kwetsbaarheden is als "high" bestempeld.

Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Onderzoeker Man Yue Mo van softwarebedrijf Semmle wist de meest waardevolle beveiligingslekken te rapporteren. Hij ontving voor zijn twee bugmeldingen in totaal 35.000 dollar.

Voor het melden van een kwetsbaarheid in het onderdeel dat Chrome gebruikt voor het afspelen van media ontving de onderzoeker een beloning van 20.000 dollar. Eén van de hoogste bedragen die Google dit jaar uitkeerde. Een beveiligingslek in de Blink-engine die Chrome gebruikt voor het weergeven van webcontent werd met 15.000 dollar beloond.

DNS over HTTPS

Daarnaast is Chrome 78 zoals gezegd de eerste versie waarin Google een publieke DoH-test zal uitvoeren. Wanneer de test precies begint is nog onbekend. Bij het opvragen van de locatie van een domeinnaam wordt een verzoek naar een dns-server gestuurd. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider.

Een probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken.

Met Chrome 78 gaat Google kijken of de ingestelde dns-provider van de gebruiker DoH ondersteunt. Op dit moment zijn dit volgens Google zes partijen, namelijk Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS en Quad9. Wanneer Chrome deze providers detecteert wordt de DoH-dienst van dezelfde provider ingeschakeld. Wanneer de dns-provider van de gebruiker niet op de lijst voorkomt blijft Chrome op dezelfde manier werken. Hierdoor zouden gebruikers niets van het experiment moeten merken, aldus Google.

Gebruikers die niet aan het experiment willen meedoen kunnen zich hiervoor afmelden door via de adresbalk de optie chrome://flags/#dns-over-https uit te schakelen. Updaten naar Chrome 78.0.3904.70 zal op de meeste systemen automatisch gebeuren.

Reacties (9)
23-10-2019, 13:47 door Anoniem
Alweer zo lek als een mandje!
Wanneer gaan ze er eens wat aan doen..
23-10-2019, 16:17 door Anoniem
Door Anoniem: Alweer zo lek als een mandje!
Wanneer gaan ze er eens wat aan doen..

"Er is een nieuwe versie van Google Chrome verschenen waarin 37 beveiligingslekken zijn verholpen"
Nu dus...
23-10-2019, 16:39 door Briolet
Door Anoniem: …"Er is een nieuwe versie van Google Chrome verschenen waarin 37 beveiligingslekken zijn verholpen"
Nu dus...

Als je zoveel weet te vinden, lijkt het me sterk dat dit echt de laatste lekken waren. Ik garandeer je dat er nog steeds lekken in zitten en dat een deel ervan bij een volgende update gepatched gaan worden.
23-10-2019, 16:50 door Anoniem
Chrome gat dezelfde kant op als Acrobat....
En wij worden maar steeds wijs gemaakt dat Chrome de veiligste browser zou zijn....
Ik krijg langzamerhand het idee dat Internet van patches aan elkaar gaat hangen.
Misschien een geheel nieuw ontwerp met een frisse start???
23-10-2019, 16:54 door Anoniem
Door Anoniem: Chrome gat dezelfde kant op als Acrobat....
En wij worden maar steeds wijs gemaakt dat Chrome de veiligste browser zou zijn....
Ik krijg langzamerhand het idee dat Internet van patches aan elkaar gaat hangen.
Misschien een geheel nieuw ontwerp met een frisse start???
Zodat ze alle bugs / lekken in dat nieuwe ontwerp kunnen gaan patchen bedoel je?
23-10-2019, 16:59 door Anoniem
Door Anoniem: Chrome gat dezelfde kant op als Acrobat....
En wij worden maar steeds wijs gemaakt dat Chrome de veiligste browser zou zijn....
Ik krijg langzamerhand het idee dat Internet van patches aan elkaar gaat hangen.
Misschien een geheel nieuw ontwerp met een frisse start???
Ik zou zeggen, begin er dan mee! Zal wel te " moeilijk " zijn, makkelijker om hier commentaar bte leveren.
23-10-2019, 18:24 door [Account Verwijderd]
Door Anoniem: Chrome gat dezelfde kant op als Acrobat....
En wij worden maar steeds wijs gemaakt dat Chrome de veiligste browser zou zijn....
Ik krijg langzamerhand het idee dat Internet van patches aan elkaar gaat hangen.
Misschien een geheel nieuw ontwerp met een frisse start???

Niet nodig want: alle software bevat fouten en Google is proactief bezig vindt de problemen voordat ze misbruikt worden. Google Chrome is inderdaad de veiligste browser, juist door dit proactieve fouten-zoek-en-vind-beleid en het goede basisontwerp.
23-10-2019, 20:32 door Anoniem
Door Anoniem: Alweer zo lek als een mandje!
Wanneer gaan ze er eens wat aan doen..
Dat doen ze toch?
24-10-2019, 06:08 door [Account Verwijderd] - Bijgewerkt: 24-10-2019, 06:12
Door Daemon:
Door Anoniem: Chrome gat dezelfde kant op als Acrobat....
En wij worden maar steeds wijs gemaakt dat Chrome de veiligste browser zou zijn....
Ik krijg langzamerhand het idee dat Internet van patches aan elkaar gaat hangen.
Misschien een geheel nieuw ontwerp met een frisse start???

Niet nodig want: alle software bevat fouten en Google is proactief bezig vindt de problemen voordat ze misbruikt worden. Google Chrome is inderdaad de veiligste browser, juist door dit proactieve fouten-zoek-en-vind-beleid en het goede basisontwerp.

Dat is weer zo'n dooddoender. Alle software bevat fouten. Heh, domme programmeurs. Foei!

Persoonlijk denk ik dat een nieuwe internet misschien wel een heel goede start zou kunnen zijn. Maar er zijn wel een heleboel zaken waar aan gedacht zouden moeten worden (zaken die de oorspronkelijke designers vergaten), zoals:

- Een simpele PL gebruiken die overal gebruikt zou kunnen worden, en deze ook doordrukken
- Een simpele OS gebruiken. Denk dan aan Plan9.
- Alles patent-vrij maken
- Vergeet het OSI model want dat is veel te complex
- Alle code moet FOSS zijn
- Niet door Amerikanen worden geprogrammeerd, want Amerikanen hebben vaak een dubbele boodschap
- En bovenal moet een nieuwe standaard ook simpel zijn, zo simpel dat iedereen die ook te begrijpen kan
- Ook zou dit moeten bevatten dat zo nu en dan het internet opnieuw gereset zou moeten kunnen worden voor de doorvoer van updates.

Ik denk dat met deze voorwaarden een hele leuke start zou kunnen worden begonnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.