image

Google verhelpt wederom actief aangevallen zerodaylek in Chrome

zaterdag 3 september 2022, 08:47 door Redactie, 6 reacties

Google heeft wederom een beveiligingsupdate uitgebracht wegens een actief aangevallen zerodaylek in Chrome. Eerder was het raak in februari, maart, april, juli en augustus. De nieuwste kwetsbaarheid bevindt zich in Mojo, een onderdeel van de browser voor het starten en beheren van processen. Het onderdeel bleek data onvoldoende te valideren, maar verdere details zijn niet gegeven.

De impact van de kwetsbaarheid (CVE-2022-3075) is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het techbedrijf werd op 30 augustus door een anonieme onderzoeker over het probleem ingelicht.

Google Chrome 105.0.5195.102 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Microsoft heeft de kwetsbaarheid ook verholpen in Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd.

Google verhielp vorig jaar een recordaantal zerodaylekken in Chrome. Zestien keer werden er patches uitgerold. Volgens het techbedrijf komt de toename van het aantal zeroday-aanvallen door het verdwijnen van Adobe Flash Player, het toegenomen marktaandeel van op Chromium-gebaseerde browsers en dat onderzoekers beter worden in het detecteren van dergelijke aanvallen.

Reacties (6)
03-09-2022, 09:07 door Erik van Straten
Volgens het techbedrijf komt de toename van het aantal zeroday-aanvallen door het verdwijnen van Adobe Flash Player, het toegenomen marktaandeel van op Chromium-gebaseerde browsers en dat onderzoekers beter worden in het detecteren van dergelijke aanvallen.
Gelukkig is alles de schuld van anderen.

Of zou de extreme featuritis in, en dus complexiteit van, webbrowsers een "rolletje" spelen, en het gegeven dat alles snel geïmplementeerd moet worden, en ontwikkelaars fouten maken?
03-09-2022, 09:35 door [Account Verwijderd]
Wat ik mij telkens afvraag bij dergelijk onrustbarend nieuws is: In hoeverre spelen deze kwetsbaarheden al of niet in Chromium browser of Ungoogled Chromium.

De broncode 'chromium' (excuses ik weet als niet IT-deskundige het niet anders te omschrijven) is ooit ontwikkeld door Google. Zij gebruiken dit als basis voor hun browser Chrome. Daarnaast is de 'chromium-code' als ik het goed begrijp vrijgegeven door Google en dient dus als bron voor de genoemde Chromium browser en Ungoogled Chromium.

De reden voor deze vraag is ook dat het mij opviel dat pas op 25-08-2022 een nieuwe versie/update voor de Chromium browser werd aangeboden in de softwarebron voor Linux Mint, terwijl op 5 juli als hoog risico geclassificeerde kwetsbaarheden werden vastgesteld, evenals op 17 augustus.

Het lijkt er op of de kwetsbaarheden van 5 juli slechts 'voor gezien' zijn gehouden en pas op 25 augustus, dus ruim anderhalve maand later mede met die van 17 augustus zijn gepatcht.

Gebeurt dat alles dus zo redelijk laat omdat de kwetsbaarheden in Chrome niet of minder van toepassing zijn op de Chromium browser of is dat wel zo en wordt het als 'aanvaardbaar risico' gezien??

Ik snap van dit alles vrijwel niets. Ook omdat de informatie die ik erover kan vinden veelal in IT vaktaal verloopt (Latijn voor een IT leek zoals ik)
03-09-2022, 10:53 door Anoniem
Onvoldoende data-validatie in dit geval en er zijn meer Mojo beveligingsproblemen:

https://stackoverflow.com/questions/73395464/mojouseragent-mojo-command-line-and-insecure-modifier

luntrus
03-09-2022, 13:56 door Anoniem
Door Quink: Wat ik mij telkens afvraag bij dergelijk onrustbarend nieuws is: In hoeverre spelen deze kwetsbaarheden al of niet in Chromium browser of Ungoogled Chromium.

De broncode 'chromium' (excuses ik weet als niet IT-deskundige het niet anders te omschrijven) is ooit ontwikkeld door Google. Zij gebruiken dit als basis voor hun browser Chrome. Daarnaast is de 'chromium-code' als ik het goed begrijp vrijgegeven door Google en dient dus als bron voor de genoemde Chromium browser en Ungoogled Chromium.

De reden voor deze vraag is ook dat het mij opviel dat pas op 25-08-2022 een nieuwe versie/update voor de Chromium browser werd aangeboden in de softwarebron voor Linux Mint, terwijl op 5 juli als hoog risico geclassificeerde kwetsbaarheden werden vastgesteld, evenals op 17 augustus.

Het lijkt er op of de kwetsbaarheden van 5 juli slechts 'voor gezien' zijn gehouden en pas op 25 augustus, dus ruim anderhalve maand later mede met die van 17 augustus zijn gepatcht.

Gebeurt dat alles dus zo redelijk laat omdat de kwetsbaarheden in Chrome niet of minder van toepassing zijn op de Chromium browser of is dat wel zo en wordt het als 'aanvaardbaar risico' gezien??

Ik snap van dit alles vrijwel niets. Ook omdat de informatie die ik erover kan vinden veelal in IT vaktaal verloopt (Latijn voor een IT leek zoals ik)
Omdat de kwetsbaarheden op een windows systeem vaak veel meer ernstige gevolgen heeft, daar de gebruiker vaak met admin rechten thuis inlogt.
03-09-2022, 16:23 door Anoniem
@Vandaag, 09:35 door Quink

Alle op Chromium gebaseerde browsers (inclusief Edge en andere) zijn in principe getroffen. Dus je kunt het beste handelen alsof dat het geval is. Dat betekent updaten zodra er een update is.

Het is zo dat zero day exploits doorgaans niet voor aanvallen op het gewone volk wordt gebruikt, maar door inlichtingendiensten die proberen in te breken bij interessante doelen. Ze willen natuurlijk niet dat hun achterdeurtje snel wordt ontdekt daarom is het gebruik vaak beperkt. Daarmee is het risico voor gewone gebruikers ook beperkt.
06-09-2022, 07:35 door [Account Verwijderd] - Bijgewerkt: 06-09-2022, 07:39
Door Anoniem: @Vandaag, 09:35 door Quink

Alle op Chromium gebaseerde browsers (inclusief Edge en andere) zijn in principe getroffen. Dus je kunt het beste handelen alsof dat het geval is. Dat betekent updaten zodra er een update is.

...(knip)...

Vanochtend Chromium update aangeboden gekregen van v. 104.0.5112.101 naar v. 105.0.5195.102 (Linux Mint 20.3)
Dat is fors sneller dan de update die werd aangeboden n.a.v. de op 5 juli geconstateerde kwetsbaarheden (*) die op 25 augustus, dus zo'n 1 3/4 maand later, werden gepatcht met een update.

(*) Zie: https://www.security.nl/posting/759586/Google+verhelpt+actief+aangevallen+zerodaylek+in+Chrome
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.