Google dicht opnieuw actief aangevallen zerodaylek in Chrome
Voor de tweede keer deze maand en de zevende keer dit jaar heeft Google een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Chrome. De kwetsbaarheid, aangeduid als CVE-2021-30554, bevindt zich in WebGL, een JavaScript API die Chrome en andere browsers gebruiken voor het weergeven van 2D- en 3D-content in de browser.
De impact van het beveiligingslek is als "high" beoordeeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.
Details over de waargenomen aanvallen, zoals het aantal slachtoffers, wanneer de aanvallen plaatsvonden en hoe, zijn niet door Google gegeven. Vorige week meldde antivirusbedrijf Kaspersky dat een ander zerodaylek in Chrome recentelijk is gebruikt bij aanvallen tegen verschillende bedrijven. De nu verholpen kwetsbaarheid werd op 15 juni door een anonieme beveiligingsonderzoeker aan Google gerapporteerd.
Gebruikers krijgen het advies om te updaten naar Google Chrome 91.0.4472.114, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen.
Hieronder een overzicht van de zeven zerodaylekken in Google Chrome en wanneer ze zijn verholpen. Recentelijk bleek dat Google dit jaar een recordaantal zerodays heeft geregistreerd.
- CVE-2021-21148 - 4 februari
- CVE-2021-21166 - 2 maart
- CVE-2021-21193 - 12 maart
- CVE-2021-21220 - 13 april
- CVE-2021-21224 - 20 april
- CVE-2021-30551 - 9 juni
- CVE-2021-30554 - 17 juni
Ik vermoed wel, Maar het zou fijn zijn als iemand met kennis een heldere uitspraak hierover zou kunnen doen.
Bij voorbaat: hartelijk dank!
En daarmee kom ik op het volgende:
Ik ben naar aanleiding van dit nieuws benieuwd wanneer er een update komt voor Chromium in Linux Mint 19.3.
In tegenstelling tot Linux Mint 20.1 is de update-interval voor Chromium in Linux Mint 19 namelijk trager heb ik sinds december 2020 ervaren.
Puzzlemaker hackers misbruiken de exploit van de WGL JavaScript API.
Vandaar de puzzlemaker groep.
luntrus
Met een enkele cheat velletje kom je er niet.
En het besef dat aanvallen altijd doorgaan.
Zij hebben over de hele linie genoeg aan een kleingaatje om zich doorheen te wurmen.
Als verdediging moet je steeds alles over de hele linie in de gaten houden. Dat is nog wel een verschil.
Ik zit nogal eens in de browser console en kijk via een DOM-XSS scanner naat kwetsbaarheden en locaal herschrijven.
Snap ook niet waarom Google de vulners extensie voor Chrome en chromium-browsers heeft gediskwalificeerd.
Je krijgt daarmee gelijk een overzicht van wat er zoal aan script kwetsbaar zou kunnen zijn.
Ook aflooptijden van scripts kunnen problemen aanduiden, iets te lange aflooptijd dan verwacht,
dan subiet nagaan wat er aan schort.
Veiligheid is echter steeds laagsgewijs. Connectie veiligheid toegevoegd, header-security, Content Security Policy,
analyse van 301-307 naar juiste 200 connecties geanalyseerd.
luntrus
Met een enkele cheat velletje kom je er niet.
En het besef dat aanvallen altijd doorgaan.
Zij hebben over de hele linie genoeg aan een kleingaatje om zich doorheen te wurmen.
Als verdediging moet je steeds alles over de hele linie in de gaten houden. Dat is nog wel een verschil.
Ik zit nogal eens in de browser console en kijk via een DOM-XSS scanner naat kwetsbaarheden en locaal herschrijven.
Snap ook niet waarom Google de vulners extensie voor Chrome en chromium-browsers heeft gediskwalificeerd.
Je krijgt daarmee gelijk een overzicht van wat er zoal aan script kwetsbaar zou kunnen zijn.
Ook aflooptijden van scripts kunnen problemen aanduiden, iets te lange aflooptijd dan verwacht,
dan subiet nagaan wat er aan schort.
Veiligheid is echter steeds laagsgewijs. Connectie veiligheid toegevoegd, header-security, Content Security Policy,
analyse van 301-307 naar juiste 200 connecties geanalyseerd.
luntrus
Dit is niet dchtt een JavaScript probleem, die is een browser API bug.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
