image

Google dicht kritiek lek in Chrome dat remote code execution mogelijk maakte

donderdag 16 april 2020, 09:38 door Redactie, 11 reacties

Google heeft een kritieke kwetsbaarheid in Chrome gedicht waardoor remote code execution mogelijk was. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren. In het ergste geval zou er zo volledige controle over het systeem verkregen kunnen worden.

De kwetsbaarheid bevond zich in het spraakherkenningsonderdeel van de browser en werd op 4 april door onderzoekers Leecraso en Guang Gong van securitybedrijf Qihoo 360 aan Google gerapporteerd. Gisterenavond werd de beveiligingsupdate beschikbaar gemaakt. In januari kwam Google ook al met een update voor een kritieke kwetsbaarheid in de spraakherkenning.

Google beloont onderzoekers voor het rapporteren van kwetsbaarheden, waarbij ernstige beveiligingslekken de hoogste beloning opleveren. Zowel voor de kritieke kwetsbaarheid van januari als die van april is de beloning nog niet bekendgemaakt. Onderzoeker Guang Gong ontving vorig jaar 30.000 dollar voor een ernstig lek in Chrome dat hij aan Google rapporteerde. Zijn hoogste beloning van Google staat echter op 200.000 dollar. Dat was voor een aanval waardoor het mogelijk was om Pixel 3-telefoons op afstand over te nemen.

In tegenstelling tot andere browsers worden kritieke kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Vorig jaar ging het om een "recordaantal" van vijf "critical" kwetsbaarheden. Het jaar daarvoor waren het er vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Dit jaar staat de teller al op twee. Updaten naar Chrome 81.0.4044.113 zal op de meeste systemen automatisch gebeuren. Google meldt dat de patch de komende dagen/weken onder gebruikers wordt uitgerold.

Reacties (11)
16-04-2020, 09:52 door Anoniem
2364 CVE entries sinds 2004 voor Google Chrome, 150 security fixes per jaar.

2035 CVE entries sinds 1999 voor Internet Explorer, 95 security fixes per jaar.

Google Chrome lijkt kampioen in het aantal lekken voor een browser.
16-04-2020, 11:01 door Anoniem
Door Anoniem: 2364 CVE entries sinds 2004 voor Google Chrome, 150 security fixes per jaar.

2035 CVE entries sinds 1999 voor Internet Explorer, 95 security fixes per jaar.

Google Chrome lijkt kampioen in het aantal lekken voor een browser.

Het aantal CVE's is echt een slechte indicatie om te duiden hoe 'veilig' een programma is. Het aantal gevonden kwetsbaarheden neemt toe met de complexiteit van een programma, als Chrome meer kan dan IE zal dat voor meer bugs zorgen. Verschillende kwetsbaarheden hebben een verschillende impact, 3 Remote Code Execution bugs zijn schadelijker dan 30 low/medium bugs. Een bug hoeft niet direct te misbruiken zijn, andere mitigaties als een sandbox hebben daar ook invloed op. Nee, er valt echt geen pijl op te trekken om 150 vs 95 CVE's per jaar met elkaar te vergelijken. Bovendien lijkt je te kijken naar een verouderd IE programma wat uitgefaseerd wordt, de toekomst is Internet Explorer Edge wat gewoon Chrome(ium) met een alternatieve skin is. Wat dat betreft zal het in de toekomst gelijk oplopen tussen de twee en heeft het geen toegevoegde waarde om dit soort oude statistieken er bij te halen.
16-04-2020, 16:57 door Anoniem
Geef eens een voorbeeld van een mainstream browser met meer lekken.

Het aantal lekken over deze lange periode geeft natuurlijk wel aan wat de kwaliteit van de code is. Het verbaast mij al jaren dat kritiek op de hoge aantallen lekken in Chrome en andere Google software zeldzaam is.
16-04-2020, 23:50 door souplost
Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren.
Hier hebben we HET windows syndroom te pakken. Dit werkt niet op een Linux desktop of een Mac
17-04-2020, 00:23 door Anoniem
Door souplost:
Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren.
Hier hebben we HET windows syndroom te pakken. Dit werkt niet op een Linux desktop of een Mac
Als je eens begrijpend leert lezen, gaat dit artikel over Google Chrome!
17-04-2020, 09:22 door Anoniem
Door souplost:
Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren.
Hier hebben we HET windows syndroom te pakken. Dit werkt niet op een Linux desktop of een Mac

Hier hebben we een ik-voel-mij-veilig-omdat-ik-geen-Windows-gebruik-syndroom te pakken. Het is een use-after-free vulnerability in Chrome. Dit soort vulnerabilities zitten voornamelijk in browsers en staan los van het onderliggende OS. Jouw one-line reacties zijn leuk, maar slaan als een tang op een varken.
Lees bijvoorbeeld de volgende website waar ook voor Linux gebruikers wordt geadviseerd om de update te installeren; https://www.cybersecurity-help.cz/vdb/SB2020041625
17-04-2020, 10:22 door souplost
Door Anoniem:
Door souplost:
Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren.
Hier hebben we HET windows syndroom te pakken. Dit werkt niet op een Linux desktop of een Mac
Als je eens begrijpend leert lezen, gaat dit artikel over Google Chrome!
Leer eens begrijpend lezen. Het gaat over een drive by infectie op een windows desktop. Windows faciliteert dat. Chrome alleen doet niks.
17-04-2020, 15:34 door Anoniem
Door souplost:
Door Anoniem:
Door souplost:
Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren.
Hier hebben we HET windows syndroom te pakken. Dit werkt niet op een Linux desktop of een Mac
Als je eens begrijpend leert lezen, gaat dit artikel over Google Chrome!
Leer eens begrijpend lezen. Het gaat over een drive by infectie op een windows desktop. Windows faciliteert dat. Chrome alleen doet niks.
Daarom dicht Google Chrome het gat, omdat het ook op Windows draait? Weetje, op Linux moet Google Chrome ook aangepast worden. Dus waar blijf je nu met jou geklets?
17-04-2020, 16:30 door souplost - Bijgewerkt: 17-04-2020, 16:31
Door Anoniem:
Door souplost:
Door Anoniem:
Door souplost:
Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren.
Hier hebben we HET windows syndroom te pakken. Dit werkt niet op een Linux desktop of een Mac
Als je eens begrijpend leert lezen, gaat dit artikel over Google Chrome!
Leer eens begrijpend lezen. Het gaat over een drive by infectie op een windows desktop. Windows faciliteert dat. Chrome alleen doet niks.
Daarom dicht Google Chrome het gat, omdat het ook op Windows draait? Weetje, op Linux moet Google Chrome ook aangepast worden. Dus waar blijf je nu met jou geklets?[/quotdrive by infectiee]
Het gaat over een drive by infectie. Zonder extra handelingen van de gebruiker. Dat werkt alleen onder windows en is het grote Windows desktop syndroom waar alle enterprise besmettingen mee beginnen.
Verbiedt de windows desktop en je bent van deze driveby ellende af.
18-04-2020, 10:53 door The FOSS - Bijgewerkt: 18-04-2020, 10:56
Door Anoniem:
Door souplost: ... Leer eens begrijpend lezen. Het gaat over een drive by infectie op een windows desktop. Windows faciliteert dat. Chrome alleen doet niks.
Daarom dicht Google Chrome het gat, omdat het ook op Windows draait? Weetje, op Linux moet Google Chrome ook aangepast worden. Dus waar blijf je nu met jou [sic] geklets?

Je snapt toch wel dat hele lappen in die Google Chrome broncode gedeeld zijn voor platformen? Dus als je een probleem oplost dat zich alleen op Windows afspeelt dan resulteert dit mogelijk ook in een update voor andere platformen. Waar blijf je nu met jouW geklets?

En over het aantal gevonden fouten in Google Chrome: als je - zoals Google doet - heel actief bezig bent met beveiliging, het doorlichten en verbeteren van de eigen code, dan zal je verhoudingsgewijs veel meer fouten vinden dan bij bedrijven die dat niet doen. Neem Microsoft met haar Windows software als exponent van die laatste groep.
18-04-2020, 21:05 door Anoniem
Door The FOSS:
Door Anoniem:
Door souplost: ... Leer eens begrijpend lezen. Het gaat over een drive by infectie op een windows desktop. Windows faciliteert dat. Chrome alleen doet niks.
Daarom dicht Google Chrome het gat, omdat het ook op Windows draait? Weetje, op Linux moet Google Chrome ook aangepast worden. Dus waar blijf je nu met jou [sic] geklets?

Je snapt toch wel dat hele lappen in die Google Chrome broncode gedeeld zijn voor platformen? Dus als je een probleem oplost dat zich alleen op Windows afspeelt dan resulteert dit mogelijk ook in een update voor andere platformen. Waar blijf je nu met jouW geklets?

En over het aantal gevonden fouten in Google Chrome: als je - zoals Google doet - heel actief bezig bent met beveiliging, het doorlichten en verbeteren van de eigen code, dan zal je verhoudingsgewijs veel meer fouten vinden dan bij bedrijven die dat niet doen. Neem Microsoft met haar Windows software als exponent van die laatste groep.
Het geeft dus aan, dat het NIET een Windows probleem is!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.