Google verhelpt wederom actief aangevallen zerodaylek in Chrome
Google heeft wederom een beveiligingsupdate uitgebracht wegens een actief aangevallen zerodaylek in Chrome. Eerder was het raak in februari, maart, april, juli en augustus. De nieuwste kwetsbaarheid bevindt zich in Mojo, een onderdeel van de browser voor het starten en beheren van processen. Het onderdeel bleek data onvoldoende te valideren, maar verdere details zijn niet gegeven.
De impact van de kwetsbaarheid (CVE-2022-3075) is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.
Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het techbedrijf werd op 30 augustus door een anonieme onderzoeker over het probleem ingelicht.
Google Chrome 105.0.5195.102 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Microsoft heeft de kwetsbaarheid ook verholpen in Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd.
Google verhielp vorig jaar een recordaantal zerodaylekken in Chrome. Zestien keer werden er patches uitgerold. Volgens het techbedrijf komt de toename van het aantal zeroday-aanvallen door het verdwijnen van Adobe Flash Player, het toegenomen marktaandeel van op Chromium-gebaseerde browsers en dat onderzoekers beter worden in het detecteren van dergelijke aanvallen.
Of zou de extreme featuritis in, en dus complexiteit van, webbrowsers een "rolletje" spelen, en het gegeven dat alles snel geïmplementeerd moet worden, en ontwikkelaars fouten maken?
De broncode 'chromium' (excuses ik weet als niet IT-deskundige het niet anders te omschrijven) is ooit ontwikkeld door Google. Zij gebruiken dit als basis voor hun browser Chrome. Daarnaast is de 'chromium-code' als ik het goed begrijp vrijgegeven door Google en dient dus als bron voor de genoemde Chromium browser en Ungoogled Chromium.
De reden voor deze vraag is ook dat het mij opviel dat pas op 25-08-2022 een nieuwe versie/update voor de Chromium browser werd aangeboden in de softwarebron voor Linux Mint, terwijl op 5 juli als hoog risico geclassificeerde kwetsbaarheden werden vastgesteld, evenals op 17 augustus.
Het lijkt er op of de kwetsbaarheden van 5 juli slechts 'voor gezien' zijn gehouden en pas op 25 augustus, dus ruim anderhalve maand later mede met die van 17 augustus zijn gepatcht.
Gebeurt dat alles dus zo redelijk laat omdat de kwetsbaarheden in Chrome niet of minder van toepassing zijn op de Chromium browser of is dat wel zo en wordt het als 'aanvaardbaar risico' gezien??
Ik snap van dit alles vrijwel niets. Ook omdat de informatie die ik erover kan vinden veelal in IT vaktaal verloopt (Latijn voor een IT leek zoals ik)
https://stackoverflow.com/questions/73395464/mojouseragent-mojo-command-line-and-insecure-modifier
luntrus
De broncode 'chromium' (excuses ik weet als niet IT-deskundige het niet anders te omschrijven) is ooit ontwikkeld door Google. Zij gebruiken dit als basis voor hun browser Chrome. Daarnaast is de 'chromium-code' als ik het goed begrijp vrijgegeven door Google en dient dus als bron voor de genoemde Chromium browser en Ungoogled Chromium.
De reden voor deze vraag is ook dat het mij opviel dat pas op 25-08-2022 een nieuwe versie/update voor de Chromium browser werd aangeboden in de softwarebron voor Linux Mint, terwijl op 5 juli als hoog risico geclassificeerde kwetsbaarheden werden vastgesteld, evenals op 17 augustus.
Het lijkt er op of de kwetsbaarheden van 5 juli slechts 'voor gezien' zijn gehouden en pas op 25 augustus, dus ruim anderhalve maand later mede met die van 17 augustus zijn gepatcht.
Gebeurt dat alles dus zo redelijk laat omdat de kwetsbaarheden in Chrome niet of minder van toepassing zijn op de Chromium browser of is dat wel zo en wordt het als 'aanvaardbaar risico' gezien??
Ik snap van dit alles vrijwel niets. Ook omdat de informatie die ik erover kan vinden veelal in IT vaktaal verloopt (Latijn voor een IT leek zoals ik)
Alle op Chromium gebaseerde browsers (inclusief Edge en andere) zijn in principe getroffen. Dus je kunt het beste handelen alsof dat het geval is. Dat betekent updaten zodra er een update is.
Het is zo dat zero day exploits doorgaans niet voor aanvallen op het gewone volk wordt gebruikt, maar door inlichtingendiensten die proberen in te breken bij interessante doelen. Ze willen natuurlijk niet dat hun achterdeurtje snel wordt ontdekt daarom is het gebruik vaak beperkt. Daarmee is het risico voor gewone gebruikers ook beperkt.
Alle op Chromium gebaseerde browsers (inclusief Edge en andere) zijn in principe getroffen. Dus je kunt het beste handelen alsof dat het geval is. Dat betekent updaten zodra er een update is.
...(knip)...
Vanochtend Chromium update aangeboden gekregen van v. 104.0.5112.101 naar v. 105.0.5195.102 (Linux Mint 20.3)
Dat is fors sneller dan de update die werd aangeboden n.a.v. de op 5 juli geconstateerde kwetsbaarheden (*) die op 25 augustus, dus zo'n 1 3/4 maand later, werden gepatcht met een update.
(*) Zie: https://www.security.nl/posting/759586/Google+verhelpt+actief+aangevallen+zerodaylek+in+Chrome
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
