image

Kritiek lek in Google Chrome laat aanvaller code op systemen uitvoeren

woensdag 14 juni 2023, 09:55 door Redactie, 6 reacties

Een kritieke kwetsbaarheid in Google Chrome maakt het voor aanvallers mogelijk om code op systemen van gebruikers uit te voeren en die in het ergste geval over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel drive-by downloads genoemd.

Google is met een nieuwe versie van de browser gekomen om gebruikers te beschermen. Het beveiligingslek, aangeduid als CVE-2023-3214, bevindt zich in het onderdeel van Chrome dat wordt gebruikt voor automatisch invoeren van betaalgegevens op websites. Verdere details zijn niet door Google gegeven, behalve dat de kwetsbaarheid is gevonden en gerapporteerd door beveiligingsonderzoeker Rong Jian.

Vorig jaar werd er een recordaantal van zes kritieke kwetsbaarheden in Google Chrome gerapporteerd. Dit jaar staat de teller inmiddels op drie. Daarnaast zijn er verschillende andere beveiligingslekken in de nieuwe browserversie gerepareerd met een impact beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren.

Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Iets wat wel met "critical" kwetsbaarheden mogelijk is.

In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 114.0.5735.133/134 is beschikbaar voor Windows. Voor macOS en Linux verscheen versie 114.0.5735.133. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Reacties (6)
14-06-2023, 10:14 door Anoniem
Oh leuk, een andere 0-day.
Ik ben er ook eentje aan het maken, en dat is niet makkelijk.

En weer valt op dat voor Edge nog geen update is, trouwens.
Zal waarschijnlijk zelfde zijn voor alle andere chromium gebaseerde browsers...
14-06-2023, 10:26 door Anoniem
Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar
Een browser moet doen waar hij voor bedoeld is met zo min mogelijk onzin, als je ziet hoe die Edge in een kerstboom
is veranderd te gek voor woorden. Volgens hebben ze gegevens nodig als voedsel voor hun AL.
14-06-2023, 12:08 door Anoniem
Door Anoniem:
Een browser moet doen waar hij voor bedoeld is met zo min mogelijk onzin, als je ziet hoe die Edge in een kerstboom
is veranderd te gek voor woorden.
Voor jou is er lynx of w3m!
De rest van de wereld gebruikt de browser als een display server voor al hun applicaties, dus die hebben dat wel nodig.
14-06-2023, 12:54 door Anoniem
Door Anoniem:
Door Anoniem:
Een browser moet doen waar hij voor bedoeld is met zo min mogelijk onzin, als je ziet hoe die Edge in een kerstboom
is veranderd te gek voor woorden.
Voor jou is er lynx of w3m!
De rest van de wereld gebruikt de browser als een display server voor al hun applicaties, dus die hebben dat wel nodig.
Er zit een verschil tussen een functionele browser en de kerstboom uit het gequote bericht.
Aan het einde van de rit wil je al die gimmicks er niet in hebben, hoe meer code hoe meer lekken.
14-06-2023, 12:54 door johanw
Is dit alleen een probleem voor PC/Mac versies of moet de Android versie hierom ook geupdated worden?
14-06-2023, 14:38 door Anoniem
De rest van de wereld gebruikt de browser als een display server voor al hun applicaties, dus die hebben dat wel nodig.
Dankjewel dat je op mij hebt gereageerd, maar ik wil toch graag van jou horen hoe jij weet dat de rest van de wereld
de browser gebruikt voor display server, of is dit weer zo’n reactie die kant nog wal raakt. En daarbij is het wel verstandig
om uperhoud de edge hier voor te gebruiken maar dat krijg allemaal te horen in jou reactie. Oh ja rest van wereld is
iedereen behalve ik dus ik kan je antwoord gemakkelijk controleren wij praten hier wel over de Edge, browser van MS.

Verder vind ik ook dat een browser anoniem moet zijn en niet zoals de Edge waar je een profiel hebt, pas geleden
nog een update en alles wat uitstond staat weer aan. Het niets meer dan spyware.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.