Kritiek lek in Google Chrome laat aanvaller systeem overnemen
Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek dat het mogelijk voor een aanvaller maakt om in het ergste geval het onderliggende systeem over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide websites of bekijken van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist.
De kwetsbaarheid, aangeduid als CVE-2022-3038, bevindt zich in de Network Service van Chrome. Een onderdeel dat de netwerkfunctionaliteit van de browser regelt. Beveiligingsonderzoeker Sergei Glazunov van Google Project Zero ontdekte een "use after free" in de code waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren.
In tegenstelling tot voorgaande jaren is er dit jaar al een recordaantal kritieke kwetsbaarheden in de browser gevonden. De teller staat nu op zes. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.
Verder verhelpt 105.0.5195.52 23 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
[$NA][1340253] Critical CVE-2022-3038: Use after free in Network Service. Reported by Sergei Glazunov of Google Project Zero on 2022-06-28
Perfecte driveby download infectie. Ik zie weer nieuwe ransomware incidenten aankomen.
Is dat beter?
Edge draait op dezelfde onderliggende engine en komt vaak met updates nadat het nieuws al geweest is.
Blijft toch altijd een lastig verhaal, helaas. Proactief opzoek gaan naar kwetsbaarheden zorgt altijd voor meer ontdekkingen. Dan blijven er nog 2 opties over. of onderzoekers van google zijn heel goed (uit project zero), of de browser is slecht gebouwd.
Een browser kiezen o.b.v. hoe vaak een kwetsbaarheid wordt gevonden lijkt mij ook geen goed idee. Geen onderzoek doen, testen en beheren zorgt namelijk altijd voor minder ontdekte kwetsbaarheden
Welke browser is volgens jou wel 100% veilig dan?
Jij voegt met dit bericht ook niets toe overigens.
Reageer eens op het verkeerde van een wereldwijde Google mono-cultuur, ja ook op vrijwel alle browsers inmiddels.
Dit zeker in/voor Nederland met haar hoge Chrome en chromium-achtige browser proliferatie.
Iridium en epic browser zijn misschien pogingen om hiervan weg te sturen. Ungoogled Chrome ook een goede alt.browser overigens.
Als je kritiek op heiligverklaard Google als getrol ervaart, succes daarmee dan, lezen we overheen.
Wij zien het tenminste anders. Maar wij zijn geen conformisten om de brode of beroepshalve immers.
#obserwator
De verschraling van de browser engines en de updatehonger van de makers - is een slechte zaak. Minder updates - meer terughoudendheid - en veel beter testbeleid - dat moet wettelijk nu maar 's afgedwongen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
