Google dicht opnieuw actief aangevallen zerodaylek in Chrome
Google heeft voor de tweede keer in nog geen twee weken tijd een zerodaylek in Chrome gedicht dat actief is aangevallen voordat de beveiligingsupdate beschikbaar was. Het is al de derde zeroday-aanval op Chrome-gebruikers van dit jaar. De kwetsbaarheid, aangeduid als CVE-2021-21193, bevindt zich in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent.
De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.
Details over de waargenomen aanvallen, zoals het aantal slachtoffers, wanneer de aanvallen plaatsvonden en hoe, zijn niet door Google gegeven. Gebruikers krijgen het advies om te updaten naar Google Chrome 89.0.4389.90, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen.
Op 4 februari en 2 maart van dit jaar kwam Google ook al met beveiligingsupdates voor actief aangevallen zerodaylekken in Chrome. Vorig jaar werden voor zover bekend in totaal zes zerodaylekken tegen gebruikers van Google Chrome ingezet.
Hoewel ik Chrome niet gebruik (maar wel Chromium) is het opmerkelijk dat 'het gespuis' er in slaagt tegen het nagenoeg unaniem als zeer veilige browser omschreven Chrome - ook door tegenstanders van Google - al voor de derde maal in 2,5 maand tijd een zero-day exploit actief te hebben, en nu al 12 dagen na de laatste gepatchte vulnerability.
Hoewel ik Chrome niet gebruik (maar wel Chromium) is het opmerkelijk dat 'het gespuis' er in slaagt tegen het nagenoeg unaniem als zeer veilige browser omschreven Chrome - ook door tegenstanders van Google - al voor de derde maal in 2,5 maand tijd een zero-day exploit actief te hebben, en nu al 12 dagen na de laatste gepatchte vulnerability.
Of chrome(ium) is de enige browser die dat door heeft.
Webkit, dat de basis vormt voor Google Chrome's Blink.
Hier werd dit in 2013 al gezien als een verhaal met een goede en een meer kwalijker kant.
Een min of meer stabiele versie werd toen voor 2014 verwacht.
https://gigaom.com/2013/04/04/is-googles-new-blink-browser-engine-good-or-evil-it-depends/
en ook werd toen toegegeven dat het werd ingezet om Blink beter te kunnen positioneren tegenover Apple's Webkit.
Niet bevreemdend in het algemeen globale monopolie streven van de Google boys.
De gevonden zero-day staat op "reserved" en is dus (nog) niet vrijgegeven voor publicatie.
Maar hieronder via de volgende link kunnen we een idee krijgen van deze zero-day, die al misbruikt wordt.
Via memory abuse in de JS render engine:
https://cwe.mitre.org/data/definitions/416.html
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
