image

Google waarschuwt voor kritiek Chrome-lek dat aanvaller code laat uitvoeren

woensdag 16 maart 2022, 10:02 door Redactie, 4 reacties

Google waarschuwt gebruikers van Chrome voor een kritieke kwetsbaarheid waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. De kwetsbaarheid, aangeduid als CVE-2022-0971, werd door een onderzoeker van Google zelf gevonden.

Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, hoewel de teller dit jaar inmiddels op drie staat. Twee daarvan werden gevonden door Google-onderzoeker Sergei Glazunov. CVE-2022-0971 bevindt zich in de Blink-browserengine die Chrome gebruikt voor het weergeven van webcontent. Door de kwetsbaarheid kan een "use after free" ontstaan en is het mogelijk voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren.

Het beveiligingslek werd op 21 februari door Glazunov aan Google gerapporteerd. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 99.0.4844.74 tien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren.

Reacties (4)
16-03-2022, 11:24 door Anoniem
Ik ben niet bekend met Chrome en ook niet met CVE-2022-0971 maar als je een veilige kernel gebruikt dan kun je in Linux, in detail, de privileges van je browser processen beperken tot (wat jij) het minimum (acht). "Disclosure of sensitive infomation" zou dan een non-issue moeten zijn (tenzjij jij vindt dat je browser toegang moet hebben tot "sensitive information"). De schade blijft beperkt. Met moderne browsers is het altijd een compromis omdat ze tegenwoordig voor van alles gebruikt worden (niet echt een gevalletje "do one thing and do it right") maar desalniettemin een zorg minder.
16-03-2022, 12:55 door Anoniem
ja ok maar laat googe ook dan gelijk de android verz updaten en niet een week later ?
17-03-2022, 09:32 door Anoniem
Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist
Dat is het bekende windows syndroom. Werkt niet op een UNIX desktop.
31-03-2022, 09:09 door Anoniem
Door Anoniem: Ik ben niet bekend met Chrome en ook niet met CVE-2022-0971 maar als je een veilige kernel gebruikt dan kun je in Linux, in detail, de privileges van je browser processen beperken tot (wat jij) het minimum (acht). "Disclosure of sensitive infomation" zou dan een non-issue moeten zijn (tenzjij jij vindt dat je browser toegang moet hebben tot "sensitive information"). De schade blijft beperkt. Met moderne browsers is het altijd een compromis omdat ze tegenwoordig voor van alles gebruikt worden (niet echt een gevalletje "do one thing and do it right") maar desalniettemin een zorg minder.


Dat is het bekende windows syndroom. Werkt niet op een UNIX desktop.

Dat is eerder het bekende 'ik weet nergens wat van maar ik gebruik Linux dus ik ben veilig' syndroom.
Helaas is deze ook van toepassing op Linux.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.