Kritiek lek in Google Chrome laat aanvaller code op systeem uitvoeren
Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor een aanvaller om willekeurige code op het systeem van gebruikers uit te voeren en in het ergste geval volledige systeemcontrole te krijgen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist. Google heeft een update uitgebracht om het probleem te verhelpen.
De kwetsbaarheid, aangeduid als CVE-2022-1853, bevindt zich in Indexed DB, een programmeerinterface voor de opslag van data binnen de browser. Google geeft verder geen details over de bug, behalve dat die kan leiden tot een "use after free" waardoor het mogelijk is voor een aanvaller om code met de rechten van de ingelogde gebruiker uit te voeren. Het beveiligingslek werd op 12 mei door een anonieme onderzoeker aan Google gerapporteerd.
Kritieke kwetsbaarheden komen zeer zelden voor in Chrome. De teller staat dit jaar pas op vier. In het geval van kritieke beveiligingslekken probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Verder verhelpt Chrome 102.0.5005.61 31 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
verzieken het internet...
Ik kreeg gisteravond al versie 102.0.5005.63 binnen...
Gebruikelijk voor mono-cultures. Eenvormige advertentie-lancerende en trackende en monitorende tools zijn het, deze browsers van tegenwoordig. Schouderbladeren voor de NSA (Never Sraight Answers), t.b.v. Blackrock en Vanguard.
Overal voor te gebruiken, behalve door de eindgebruiker als product tussen Scylla van Big Commerce en Charybdis van Big Guv. Iets anders dan tussen deze twee "kwaden" is er al vrijwel niet meer te kiezen. Laat het allemaal goed tot je doordringen, lieve techno-slaafjes van heden ten dage, dan kunnen we misschien met handen en voeten voor iets anders kiezen als het te gek zou worden, maar dat duur vast nog wel even, of dat punt zal nooit bereikt worden door afgestompte en murwgemaakte eindgebruikers van nu.
#mono-clicker
Altijd, net zoals alle lekken, of ze hebben het met een update toegevoegd zoals adobe dat altijd extra erbij doet.
zoals:
/gui/url/80591a2b4b95cc998b54bde6124a3514806ec67db5622d1464b7a916e19b3eb0/details:7
SyntaxError: Unexpected identifier
it (:14:1074)()
D..I. (:4:485)()
it (:14:1074)()
y (:6:39)()
Object.send (:7:128)()
V (:3:307)()
:4:275()
E_u (:4:330)()
:64:44()
Object.create (:65:178)()
SyntaxError: Invalid regular expression flags
it (:14:1074)()
D..I. (:4:485)()
it (:14:1074)()
y (:6:39)()
Object.send (:7:128)()
V (:3:307)()
:4:275()
E_u (:4:330)()
:64:44()
Object.create (:65:178)()
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
