image

Google verhelpt kritiek Chrome-lek dat remote code execution mogelijk maakt

woensdag 17 mei 2023, 09:47 door Redactie, 8 reacties

Google heeft een kritieke kwetsbaarheid in Chrome verholpen waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een geïnfecteerde advertentie te zien krijgen. Er is geen verdere interactie vereist. Dergelijke aanvallen worden ook wel drive-by downloads genoemd. Het komt zelden voor dat Google een kritiek lek in Chrome verhelpt. Dit jaar werd één keer eerder een kritieke kwetsbaarheid in Chrome verholpen. Dat gebeurde eind februari.

Het nu verholpen beveiligingsprobleem, aangeduid als CVE-2023-2721, bevindt zich in het "Navigation" onderdeel van de browser. De kwetsbaarheid kan leiden tot een use after free waardoor remote code execution mogelijk is. Het beveiligingslek werd gevonden en gerapporteerd door onderzoeker Guang Gong van securitybedrijf Qihoo 360. Gong ontdekte in het verleden vaker kritieke kwetsbaarheden in Chrome. Welke beloning de onderzoeker voor zijn bugmelding krijgt is nog niet bekend.

Google Chrome 113.0.5672.126/.127 is beschikbaar voor Windows, voor Linux en macOS is versie 113.0.5672.126 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Reacties (8)
17-05-2023, 10:21 door Anoniem
Oke, eigen browser maken dan maar het is.
Weet je wat, dan doen we het meteen in Java, dat maakt het cross-platform EN robuust tegen al dit soort aanvallen.
Dan kan ik ook direct die features inbouwen die ik wou: selfcontained, cookie isolatie, glorified bookmarks, etc...
Als het goed is zit er al een JavaScript engine in Java, dus hoef ik die niet zelf te maken.
Verder heeft Java ook een TLS library, kan ik me ook aan het "Don't roll your own" principe houden.
Meest lastige is natuurlijk een goede naam verzinnen... :)
17-05-2023, 11:19 door Anoniem
Een gebruiker hoeft hiervoor alleen een gecompromitteerde of besmette website te bezoeken of een geïnfecteerde advertentie te zien krijgen. Er is geen verdere interactie vereist
Dat werkt alleen onder windows!
17-05-2023, 11:30 door Anoniem
@ anoniem van 10:21,

Hoe wil je tegen de stroom van monopolistische chromium-achtige browsertjes inzwemmen?

Vrijwel alle browsers leunen op dezelfde engine. Behalve een niche-gevalletje als Beaker p2p browser e.d.

Al gebrobeerd met ungoogled chromium, maar dan zit je nog met dezelfde engine.

Firefox op Ubuntu met een paar essentiele extenties heeft die ook .

Elke browser is een trackingtool bij uitstek, ja ook de Tor browser.
Wil je dat niet, zul je het Internet niet op moeten gaan.

Want als het bijv. van de huidige CDA-leden afhangen kan, zal elke toetsaanslag, die je ooit verricht,
moeten worden vastgelegd en door AI worden be-algorythmizeerd, gefactcheckt en eventueel verwijderd.

Het helpt zo de analoge wereld niet af van misbruik en corruptie en terreur, maar ja.
we naderen nu eenmaal,wa t zij noemen de Apocalyptische jaren der grote verdrukking.
Wrang dat ze er zelf het hardst aan meehelpen, dit rijk van de anti-christ mogelijk te maken.

De huidige Big Brothers (de mannenbroeders van de monolithen) beschouwen dit als hun Deus Vult;
ga daar dus vooral niet tegenin, al zou ik het toejuichen.

#web-save-to-pocket
17-05-2023, 12:21 door Anoniem
Ik heeft er ook nog 1...waarom niet alle chroom gebaarzeerde browsers in 1x updaten ??????.
17-05-2023, 13:47 door Anoniem
Door Anoniem: @ anoniem van 10:21,
Hoe wil je tegen de stroom van monopolistische chromium-achtige browsertjes inzwemmen?

Vrijwel alle browsers leunen op dezelfde engine. Behalve een niche-gevalletje als Beaker p2p browser e.d.
Al gebrobeerd met ungoogled chromium, maar dan zit je nog met dezelfde engine.
Firefox op Ubuntu met een paar essentiele extenties heeft die ook .

Elke browser is een trackingtool bij uitstek, ja ook de Tor browser.
Wil je dat niet, zul je het Internet niet op moeten gaan.

<SNIP>
#web-save-to-pocket
Er zijn in de browserwereld 3 mainstream engines in plaats van 1:
- Chromium (google, edge, brave, etc)
- Gecko (Firefox, tor browser, pale moon, etc)
- Webkit (Safari)

Ik was van plan om de browser niet te veel "features" te geven, maar enkel wat nodig is.
Daar sprenkel ik dan even wat echte privacy overheen, naast de security die er inherent al is.

Natuurlijk kan je tracking niet helemaal stoppen, maar knap lastig maken kan wel.

Verder is je verhaal één grote warbol van feiten samenzweringen (of diens theoriën).
Daar kan ik helaas geen concrete vraag, tip of opmerking meer uit halen.
Dat het de slechte kant op gaat ben ik het in ieder geval wel mee eens.
18-05-2023, 12:08 door Anoniem
Door Anoniem: Oke, eigen browser maken dan maar het is.
Weet je wat, dan doen we het meteen in Java, dat maakt het cross-platform EN robuust tegen al dit soort aanvallen.
Dan kan ik ook direct die features inbouwen die ik wou: selfcontained, cookie isolatie, glorified bookmarks, etc...
Als het goed is zit er al een JavaScript engine in Java, dus hoef ik die niet zelf te maken.
Verder heeft Java ook een TLS library, kan ik me ook aan het "Don't roll your own" principe houden.
Meest lastige is natuurlijk een goede naam verzinnen... :)

Er was ooit HotJava , dat was precies dat - browser geschreven in Java , door Sun (natuurlijk, toen)
Net als alles in Java - ondanks de JIT beloften - erg traag.
19-05-2023, 09:37 door Anoniem
Door Anoniem:
Door Anoniem: @ anoniem van 10:21,
Hoe wil je tegen de stroom van monopolistische chromium-achtige browsertjes inzwemmen?

Vrijwel alle browsers leunen op dezelfde engine. Behalve een niche-gevalletje als Beaker p2p browser e.d.
Al gebrobeerd met ungoogled chromium, maar dan zit je nog met dezelfde engine.
Firefox op Ubuntu met een paar essentiele extenties heeft die ook .

Elke browser is een trackingtool bij uitstek, ja ook de Tor browser.
Wil je dat niet, zul je het Internet niet op moeten gaan.

<SNIP>
#web-save-to-pocket
Er zijn in de browserwereld 3 mainstream engines in plaats van 1:
- Chromium (google, edge, brave, etc)
- Gecko (Firefox, tor browser, pale moon, etc)
- Webkit (Safari)

Ik was van plan om de browser niet te veel "features" te geven, maar enkel wat nodig is.
Daar sprenkel ik dan even wat echte privacy overheen, naast de security die er inherent al is.

Natuurlijk kan je tracking niet helemaal stoppen, maar knap lastig maken kan wel.

Verder is je verhaal één grote warbol van feiten samenzweringen (of diens theoriën).
Daar kan ik helaas geen concrete vraag, tip of opmerking meer uit halen.
Dat het de slechte kant op gaat ben ik het in ieder geval wel mee eens.
Er is nog een categorie die ik regelmatig gebruik: https://alvarotrigo.com/blog/text-browsing/
19-05-2023, 13:56 door Anoniem
Als ie dan zo traag is als de Chameleon browser, kun je je lol op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.