image

Google patcht actief aangevallen zerodaylek in Chrome

dinsdag 25 februari 2020, 08:41 door Redactie, 6 reacties

Google heeft een beveiligingsupdate uitgebracht voor Chrome die drie kwetsbaarheden verhelpt, waaronder een zerodaylek dat actief werd aangevallen voordat de update beschikbaar was. Het lek bevond zich in de V8 JavaScript-engine die wordt gebruikt voor het uitvoeren van JavaScript.

"Google is bekend met meldingen dat een exploit voor CVE-2020-6418 in het wild bestaat", zegt Krishna Govind van het Google Chrome Team. Details over de aanvallen en tegen welke gebruikers die waren gericht zijn niet gegeven. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Het beveiligingslek alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Het beveiligingslek werd gevonden door Clement Lecigne van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Vorig jaar werden gebruikers van Google Chrome ook al het doelwit van verschillende zeroday-aanvallen. Updaten naar Chrome 80.0.3987.122 zal op de meeste systemen automatisch gebeuren.

Reacties (6)
25-02-2020, 15:16 door Anoniem
Het dilemma van Google is dat de belegger niets liever ziet dan dat de gebruiker genaaid wordt. Langs alle kieren en gaten. Zolang dat beeld niet bijstelt, allemaal brave Hendrik PR.
25-02-2020, 15:45 door Briolet
die drie kwetsbaarheden verhelpt, waaronder een zerodaylek

Zijn niet alle kwetsbaarheden een zero-day, tot het moment van patchen? Dat er alleen van één bekend is dat die actief gebruikt wordt, wil nog niet zeggen dat anderen niet gebruikt worden. Het is dan alleen nog niet gedocumenteerd.
26-02-2020, 00:47 door Anoniem
Door Anoniem: Het dilemma van Google is dat de belegger niets liever ziet dan dat de gebruiker genaaid wordt. Langs alle kieren en gaten. Zolang dat beeld niet bijstelt, allemaal brave Hendrik PR.

Het dilemma is meer dat burgers google blijven gebruiken.
26-02-2020, 11:14 door Anoniem
Wie gebruikt Google Chrome nog na dit news item?

https://www.theregister.co.uk/2020/02/20/chrome_deploys_deeplinking/
26-02-2020, 14:27 door Anoniem
Is een zeroday een zeroday te noemen wanneer er een afhankelijkheid bestaat met een andere kwetsbaarheid die mogelijk wel gemitigeerd is?
Dit artikel suggereert dat er een extra kwetsbaarheid nodig is om te kunnen exploiten maar geen enkel ander artikel bevestigt dit...
26-02-2020, 22:49 door Anoniem
Daarom houdt men in de USA niet zo van Kaspersky:
https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
Dit valt in de categorie: https://snyk.io/vuln/npm:jquery-validation -> jquery-validate.js zwakheid.
Zie ook: https://c.mi.com/thread-2581448-1-0.html
Alles voortbordurend op kwetsbaarheden uit 2014 en later 2017 rond jquery-validation
en recentelijk dit. Info credits gaan naar: AMR, waarvan akte,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.