image

Kritiek lek in Google Chrome maakt remote code execution mogelijk

woensdag 3 februari 2021, 09:40 door Redactie, 5 reacties
Laatst bijgewerkt: 03-02-2021, 13:37

Google heeft een kritieke kwetsbaarheid in Chrome verholpen die remote code execution mogelijk maakt. Het beveiligingslek is aanwezig in het onderdeel van de browser dat wordt gebruikt voor het verwerken van betalingen. Het gaat om een zogeheten 'use after free'. Verdere details worden niet door Google gegeven, behalve dat de kwetsbaarheid (CVE-2021-21142) is ontdekt en gemeld door beveiligingsonderzoeker Khalil Zhani.

De onderzoeker kreeg voor zijn bugmelding een beloning van 20.000 dollar. Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het systeem van de gebruiker uitvoeren waarbij alleen het bezoeken van een website voldoende is. Er is geen verdere interactie van de gebruiker vereist. Vorig jaar oktober kreeg Google echter ook met een kritieke kwetsbaarheid in het betalingsonderdeel te maken.

Naast de kritieke kwetsbaarheid heeft Google ook vijf andere beveiligingslekken in de browser verholpen, waaronder in de extensies, 'tab groups', het verwerken van fonts en navigatie. Deze lekken zijn echter minder ernstig van aard. Updaten naar Chrome 88.0.4324.146 voor Linux, macOS en Windows zal op de meeste systemen automatisch gebeuren. Aangezien deze update een kritiek beveiligingslek verhelpt zal Google proberen om de patch binnen dertig dagen onder alle gebruikers uit te rollen.

Update

Microsoft zal naar verwachting ook een nieuwe versie van Edge Chromium uitbrengen, maar doet dit meestal na de release van Google Chrome. Op deze pagina is een overzicht van de Chromium-updates voor Microsoft Edge te vinden.

Reacties (5)
03-02-2021, 11:24 door Anoniem
ook is bug met .eml opgelost :)
03-02-2021, 13:31 door Anoniem
Geld dit ook voor Chromium en Edge en op welk platform?
Ik vind dat security.nl wel weinig zelf uitzoekt.
03-02-2021, 15:48 door Anoniem
opmerking om 13:31.....weinig ja daar zeg je wat....
03-02-2021, 16:02 door Anoniem
Door Anoniem: Geld dit ook voor Chromium en Edge en op welk platform?
Ik vind dat security.nl wel weinig zelf uitzoekt.

Het staat je vrij om een betere security.nl achtige website op te zetten ;-)
Serieus, hoe zouden ze dat kunnen doen?
Als Google in Chrome een bug heeft en fixed hoeft dat niet automagisch te betekenen dat Edge, Brave en consorten ook dezelfde bug hebben.
En ik denk ook niet dat zelfs als je navraag bij bijv. Microsoft NL gaat doen met deze vraag of je daar zomaar een antwoord op krijgt.
03-02-2021, 16:21 door Anoniem
De browser Google Chrome en de chromium varianten zijn allemaal gebaseerd op open source software.
Men kan dus zelf vaststellen of fouten browserbreed voorkomen of niet.

Een browser is een zeer complex opererende bladeraar. Kijk maar eens met Ctl+Shift+I wat zich allemaal erin afspeelt,
of wat juist niet afspeelt, waar fouten zitten. Dan hebben we nog de invloed van hetgeen erop draait en de daarachterliggende servers (ook met diverse security beperkingen meestal).

Als dat alles in elkaar moet grijpen is het wonderlijk dat het niet vaker misgaat en je even naar het plafond moet kijken.

Remote code execution is inderdaad een gevaarlijke kwetsbaarheid. Want men kan dan via de browser soms de achterliggende machine overnemen. Moet snel gepatcht worden.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.