image

Kritiek lek in Google Chrome maakt remote code execution mogelijk

woensdag 22 juni 2022, 09:38 door Redactie, 9 reacties

Een kritieke kwetsbaarheid in Google Chrome maakt het mogelijk voor aanvallers om systemen op afstand over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist. Google heeft een beveiligingsupdate uitgebracht om het probleem te verhelpen.

De kwetsbaarheid, aangeduid als CVE-2022-2156, werd op 11 juni door Mark Brand van Google Project Zero aan het Chrome-team gerapporteerd. Het probleem bevindt zich in het "Base" onderdeel van de browser en maakt een use after free mogelijk waardoor een aanvaller buiten de sandbox van Chrome code op het systeem kan uitvoeren. In het ergste geval is daardoor volledige systeemovername mogelijk. Verder geeft Google geen details over de kwetsbaarheid.

Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op vijf, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.

Verder verhelpt Chrome 103.0.5060.53 dertien andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.

Reacties (9)
22-06-2022, 10:23 door Anoniem
maakt een use after free mogelijk waardoor een aanvaller buiten de sandbox van Chrome code op het systeem kan uitvoeren. In het ergste geval is daardoor volledige systeemovername mogelijk
Dan moeten er uiteraard nog wel andere lekken en/of configuratiefouten in het systeem zitten.
Het zou een beetje raar zijn als je vanuit een user proces zoals Chrome het hele systeem kunt overnemen...
22-06-2022, 13:18 door Anoniem
Draaien binnen sandboxie dus of helegaar geen chrome of chromium browser meer gebruiken. Weg met Alphabet tracking, monitoring, surveillance en gedoogde cybercrime.
22-06-2022, 13:35 door _R0N_
Chrome het nieuwe IE

Duidelijk voorbeeld van dat de populairste altijd de klos is.
22-06-2022, 13:37 door Anoniem
Door Anoniem: Draaien binnen sandboxie dus of helegaar geen chrome of chromium browser meer gebruiken. Weg met Alphabet tracking, monitoring, surveillance en gedoogde cybercrime.

Weg gaan die niet. Het gebeurt wel via de achterkant.

Voorbeeldje. Jij wil "privacy" op vakantie en neemt je tel niet mee.

Een toerist neemt een foto waar jii op staat in de achtergrond. Geen probleem met de 50mpix cameras van tegewoordig.

Haar telefoon synced met Google Drive en staat meteen in d "secure Cloud."

Op de achtergrond wordt elke jpg die op het serverpark binnenkomt getagged tegen een facial recognition database.

De tags en references daarvan worden opgeslagen op een Alfabet server.

De signals intelligence van de NSA is geweldig. Criminele spionnen kunnen zich nergens meer verstoppen.

Denk ook aan webcam streams... sommigen dan.

Maar vooral iedere smartphone die 2 cameras of meer heeft.

Waar wil je nog heen wetende dat privacy een illusie is?

Gelukkig is dit geen privacyforum..
22-06-2022, 19:18 door walmare
Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist.
Dat heet het grote windows syndroom waar bijna alle ransomware infecties mee beginnen. Tot nu toe onmogelijk op een Linux desktop gebleken en dat zal nog wel een tijdje zo blijven.
23-06-2022, 06:11 door Anoniem
Vluchten kan niet meer. Er is teveel afhankelijk van deze Big Tech monopolist en wie hebben het ontstaan ervan mogelijk gemaakt, juist de Amerikaanse diensten en de rav van chabad, uncle Schmuel. Gaat inderdaad zoals boven aangegeven.
Voor Yanken staat MS of Google gelijk aan gebruik van Internet. All your data is/belongs to us (and the so many eyes).
Live with it as long as you are allowed to live with it. De meesten beseffen gelukkig niet wat er onder hun browser-motorkapje geschiedt.
23-06-2022, 18:33 door Anoniem
Oude liedje.. u bunch of @$% <-- Ik heb het vnl over bedrijven/instanties

----- Het is Niet gratis -----

You are ----Locked in----


Dankjewel zegt Big Tech probeer gratis maar eens van ons af te komen..
24-06-2022, 08:17 door Anoniem
Maar via al die andere instanties kom je er ook niet meer vanaf. Niet via EEF en alle andere tandenloze organisaties, niet via jouw en andere overheden (want die liggen er allemaal groot mee in bed of werken er 'hand in foot' mee samen (in Amerika al vanaf de eerste financiering).Het kleine Ierse EU-kantoortje is speciaal opgericht om er niets aan te hoeven doen, want dat land heeft er haar economische 'boom' hieraan te danken gehad. Dus je staat als eindgebruiker hlemaal maar dan ook helemaal alleen. Recht op privacy en andere rechten = 0 of ver onder 0. Goed dat delen door 0 niet mogelijk is.
#observator
10-07-2022, 20:01 door Anoniem
Hoeveel % van de markt was in gevaar (bij mij komt die browser er dus niet op - laat staan dat ik zelfs de engine al wil - dit is een veel te groot doelwit!).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.