Kritiek lek in Google Chrome laat aanvaller code op systemen uitvoeren
Een kritieke kwetsbaarheid in Google Chrome maakt het voor aanvallers mogelijk om code op systemen van gebruikers uit te voeren en die in het ergste geval over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel drive-by downloads genoemd.
Google is met een nieuwe versie van de browser gekomen om gebruikers te beschermen. Het beveiligingslek, aangeduid als CVE-2023-3214, bevindt zich in het onderdeel van Chrome dat wordt gebruikt voor automatisch invoeren van betaalgegevens op websites. Verdere details zijn niet door Google gegeven, behalve dat de kwetsbaarheid is gevonden en gerapporteerd door beveiligingsonderzoeker Rong Jian.
Vorig jaar werd er een recordaantal van zes kritieke kwetsbaarheden in Google Chrome gerapporteerd. Dit jaar staat de teller inmiddels op drie. Daarnaast zijn er verschillende andere beveiligingslekken in de nieuwe browserversie gerepareerd met een impact beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren.
Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Iets wat wel met "critical" kwetsbaarheden mogelijk is.
In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 114.0.5735.133/134 is beschikbaar voor Windows. Voor macOS en Linux verscheen versie 114.0.5735.133. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
Ik ben er ook eentje aan het maken, en dat is niet makkelijk.
En weer valt op dat voor Edge nog geen update is, trouwens.
Zal waarschijnlijk zelfde zijn voor alle andere chromium gebaseerde browsers...
is veranderd te gek voor woorden. Volgens hebben ze gegevens nodig als voedsel voor hun AL.
Een browser moet doen waar hij voor bedoeld is met zo min mogelijk onzin, als je ziet hoe die Edge in een kerstboom
is veranderd te gek voor woorden.
De rest van de wereld gebruikt de browser als een display server voor al hun applicaties, dus die hebben dat wel nodig.
Een browser moet doen waar hij voor bedoeld is met zo min mogelijk onzin, als je ziet hoe die Edge in een kerstboom
is veranderd te gek voor woorden.
De rest van de wereld gebruikt de browser als een display server voor al hun applicaties, dus die hebben dat wel nodig.
Aan het einde van de rit wil je al die gimmicks er niet in hebben, hoe meer code hoe meer lekken.
de browser gebruikt voor display server, of is dit weer zo’n reactie die kant nog wal raakt. En daarbij is het wel verstandig
om uperhoud de edge hier voor te gebruiken maar dat krijg allemaal te horen in jou reactie. Oh ja rest van wereld is
iedereen behalve ik dus ik kan je antwoord gemakkelijk controleren wij praten hier wel over de Edge, browser van MS.
Verder vind ik ook dat een browser anoniem moet zijn en niet zoals de Edge waar je een profiel hebt, pas geleden
nog een update en alles wat uitstond staat weer aan. Het niets meer dan spyware.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
