image

Google verhelpt zeldzame kritieke zeroday in Chrome gebruikt bij aanvallen

dinsdag 12 september 2023, 07:53 door Redactie, 5 reacties

Google heeft een zeldzame kritieke zeroday in Chrome verholpen die is gebruikt bij aanvallen en aanvallers de mogelijkheid biedt om code op het onderliggende systeem uit te voeren. Daarvoor is alleen het bezoeken van een malafide of gecompromitteerde website of het te te zien krijgen van een besmette advertentie voldoende. Verdere actie van gebruikers is niet vereist. Dit wordt ook wel een drive-by download-aanval genoemd.

Chrome krijgt regelmatig met zerodaylekken te maken, maar die impact van deze kwetsbaarheden is dan als "high" beoordeeld. Dergelijke beveiligingslekken laten een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google heeft nu een update uitgebracht voor een actief aangevallen kritieke kwetsbaarheid (CVE-2023-4863), waardoor het mogelijk is voor een aanvaller om code op het onderliggende systeem uit te voeren en dat in het ergste geval volledig over te nemen. Een tweede kwetsbaarheid is dan niet meer vereist.

Het zerodaylek werd gevonden door onderzoekers van Apple en Citizen Lab, die het probleem op 6 september aan Google rapporteerden. Onlangs vonden beide partijen ook twee zerodaylekken die werden gebruikt voor het stilletjes infecteren van iPhones met de Pegasus-spyware. Details over de aanvallen zijn niet door Google gegeven.

In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Het gaat om Google Chrome 116.0.5845.187/.188 voor Windows en versie 116.0.5845.187 voor macOS en Linux. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Reacties (5)
12-09-2023, 10:38 door Anoniem
Google gebruikt juist de programmeertaal Rust om dergelijke issues in het besturingssysteem Android voor te zijn. Waarom niet ook in Google Chrome? Want deze fout had voorkomen kunnen worden met de juiste tools, Rust had dit in de debug target opgemerkt tijdens compilatie en dan was dit nooit gebeurd.

https://nvd.nist.gov/vuln/detail/CVE-2023-33658
https://cwe.mitre.org/data/definitions/122.html
12-09-2023, 11:31 door Anoniem
Ik lees nu voor het eerst:
Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Mijn Windows PC probeert namelijk steeds via Microsoft Edge mijn TV te bereiken.
Ik begreep het in eerste instantie niet totdat ik tot de ontdekking kwam dat de ChromeCast poorten van mijn TV ook via Microsoft Edge worden aangesproken.

En dan is het al helemaal een slechte zaak dat MS Edge niet gepatched is.
12-09-2023, 11:49 door Anoniem
Door Anoniem: Google gebruikt juist de programmeertaal Rust om dergelijke issues in het besturingssysteem Android voor te zijn. Waarom niet ook in Google Chrome? Want deze fout had voorkomen kunnen worden met de juiste tools, Rust had dit in de debug target opgemerkt tijdens compilatie en dan was dit nooit gebeurd.

Gegarandeerd gaat ook Rust z'n bugs hebben. Ook Java beloofde veel, leverde een deel en was niet 100% immuun.

Het specifieke 'waarom' weet ik niet -

maar
1)porten naar een andere taal van een GROOT project is waanzinnig veel werk.
2) Is er uberhaupt een Rust compiler voor alle targets waar Chrome op draait ?

(1.5 GB source, ca 37 miljoen regels code ).
https://openhub.net/p/chrome/analyses/latest/languages_summary

Als een clubje Rust fanboys zich wel uitleven, het _is_ open source .
12-09-2023, 12:19 door Anoniem
Is WebP nu ook veilig op WordPress?
Met CSS monitoring wordt dit converteren kritisch.

De beveiliger moet de hele range kwetsbaarheden in de gaten houden, de l33t evil hacker heeft aan een klein werkend gaatje voldoende. Dus ongelijk verdeeld op deze planeet.
12-09-2023, 16:25 door Anoniem
Door Anoniem: Google gebruikt juist de programmeertaal Rust om dergelijke issues in het besturingssysteem Android voor te zijn. Waarom niet ook in Google Chrome? Want deze fout had voorkomen kunnen worden met de juiste tools, Rust had dit in de debug target opgemerkt tijdens compilatie en dan was dit nooit gebeurd.

https://nvd.nist.gov/vuln/detail/CVE-2023-33658
https://cwe.mitre.org/data/definitions/122.html

Omdat Chrome ouder is dan rust? Je herschrijft geen miljoen lijnen code zonder business case.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.