image

Kritieke kwetsbaarheid in Google Chrome maakt remote code execution mogelijk

woensdag 15 juli 2020, 10:13 door Redactie, 5 reacties
Laatst bijgewerkt: 15-07-2020, 11:03

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden verhelpt, waaronder een kritiek beveiligingslek waardoor een aanvaller op afstand willekeurige code kan uitvoeren met de rechten van de ingelogde gebruiker. Google is van plan om Chrome 84 binnen dertig dagen onder alle Chrome-gebruikers uit te rollen.

De kwetsbaarheid is aanwezig in "background fetch", een onderdeel van de browser dat in de achtergrond grote bestanden zoals films, podcasts en levels van games kan downloaden. Technische details over het beveiligingslek zijn nog niet gegeven, behalve dat het lek gebruikt kan worden om een heap buffer overflow te veroorzaken. Vervolgens is het mogelijk om willekeurige code uit te voeren.

Het beveiligingslek werd gevonden door onderzoekers Leecraso en Guang Gong van 360 Alpha Lab, die het probleem op 8 juli aan Google rapporteerden. In april wisten beide onderzoekers ook al een kritieke kwetsbaarheid in Chrome te vinden. In tegenstelling tot andere browsers worden kritieke kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden.

Vorig jaar ging het om een "recordaantal" van vijf "critical" kwetsbaarheden. Het jaar daarvoor waren het er vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Dit jaar staat de teller op drie.

Naast het kritieke beveiligingslek zijn er ook 37 andere kwetsbaarheden in de browser met een lagere impact opgelost. Het ging onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Http-downloads

Chrome 84 introduceert ook verschillende nieuwe features. Zo zal de desktopversie van de browser gebruikers voortaan waarschuwen wanneer ze op een https-website bestanden via http downloaden. Uiteindelijk zal Chrome "onveilige downloads" helemaal blokkeren. Met de lancering van Chrome 84 zullen de eerste waarschuwingen verschijnen, gevolgd door een volledige blokkade in Chrome 88.

Google Chrome beschikt over een automatische updatefunctie. In het geval van een kritische kwetsbaarheid probeert Google alle Chrome-gebruikers binnen dertig dagen naar de laatste versie te updaten. Gebruikers kunnen ook door "chrome://settings/help" in de adresbalk in te voeren Chrome 84.0.4147.89 downloaden.

Reacties (5)
15-07-2020, 10:29 door Anoniem
En waarschijnlijk dus ook in EDGE!
15-07-2020, 11:45 door Anoniem
Helaas is het gebruikelijk dat in browsers voorkomende security problemen worden opgelost door het releasen van
een nieuwe versie die meteen allerlei nieuwe functionaliteit of verlies van bestaande functionaliteit meebrengt.
Je moet dan soms een oude browser bij de hand houden om nog te kunnen wat je wilt kunnen (bijvoorbeeld het
configureren van een wat ouder apparaat wat een web interface heeft).
Sterker nog, dit houdt sommige mensen tegen om ueberhaupt updates te doen. Vervelende ervaringen uit het
verleden kunnen heel lang een stempel zetten op het toekomstig gedrag.
Daar zouden browsermakers wel eens wat meer bij mogen stilstaan, in plaats van zich voortdurend de messias te
voelen in het te volgen traject van de wereld.
16-07-2020, 10:07 door Anoniem
Door Anoniem:
Je moet dan soms een oude browser bij de hand houden om nog te kunnen wat je wilt kunnen (bijvoorbeeld het configureren van een wat ouder apparaat wat een web interface heeft).
.
Je zou het ook eens kunnen omdraaien? Waarom heeft dat oude apparaat een zo slechte webinteface, dat het alleen met een bepaalde webbrowser kan werken?
17-07-2020, 11:53 door Anoniem
Door Anoniem:
Door Anoniem:
Je moet dan soms een oude browser bij de hand houden om nog te kunnen wat je wilt kunnen (bijvoorbeeld het configureren van een wat ouder apparaat wat een web interface heeft).
.
Je zou het ook eens kunnen omdraaien? Waarom heeft dat oude apparaat een zo slechte webinteface, dat het alleen met een bepaalde webbrowser kan werken?

Dat soort gevallen zijn typisch embedded systeempjes . Het zijn bijvoorbeeld out-of-band management kaarten in servers, remote powerswitches (stekkerblokken voor in een datacenter, waarop je kunt inloggen om de stroom aan/uit te schakelen).
Vast ook dingen als gebouwbeheer (koeling, verwarming e.d.) .
Soms _eisen_ ze een java plugin . Of een SSL versie/algorithmes die moderne browsers niet meer willen doen.

En dan is het irritant dat je een VM met een oude browser moet bijhouden om zo af toe iets op z'n ding te kunnen doen.
20-07-2020, 03:46 door [Account Verwijderd]
Door Anoniem: En waarschijnlijk dus ook in EDGE!

Huh? Wat hebben grafen hier nou weer mee te maken? https://en.m.wikipedia.org/wiki/Graph_theory
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.