Nieuws
image

Google waarschuwt opnieuw voor actief aangevallen zeroday in Chrome

donderdag 28 september 2023, 09:09 door Redactie, 14 reacties
Laatst bijgewerkt: 28-09-2023, 12:16

Google waarschuwt opnieuw voor een actief aangevallen zerodaylek in Chrome en heeft updates uitgebracht om het probleem te. verhelpen. Het beveiligingslek bevindt zich in libvpx, een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-bestand kan een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser kan uitvoeren.

De impact van de kwetsbaarheid, aangeduid als CVE-2023-5217, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller bijvoorbeeld data van andere websites kan lezen of aanpassen en zo gevoelige informatie van gebruikers kan stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De zeroday werd door een onderzoeker van Googles Threat Analysis Group op 25 september gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.

Google Chrome 117.0.5938.132 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. Google kwam twee weken geleden ook al met updates voor een actief aangevallen zeroday.

Update

Google laat via X weten dat de kwetsbaarheid door een spywareleverancier is gebruikt.

Reacties (14)
28-09-2023, 10:45 door Anoniem
Ze moeten die achterdeurtjes voor de TLA/FLA beter verstoppen hoor.
28-09-2023, 11:28 door Anoniem
Zeroday is een eufemisme voor houtje-touwtjewerk.

Maar commercieel is het net zoiets als getrouwd zijn. Zou ze nooit ergens over zeuren dan vergeet je hoe getrouwd je ermee bent.
28-09-2023, 11:35 door Anoniem
Juist, leuk hoor, die Chrome/chromium mono-cultuur.
CSS komt naar een plek bij u in de buurt vanaf nu, ook voor je videootjes.
Za bug is da feature.

En daar gaat het eens 5e rijkste land op aarde naar de gallemieze mee.
Hier zitten de meeste Google bekeerden overigens.

Je krijgt de pagina al voorvertaald van Portugees tot Pools, en Nederlands tot Bulgaars.
Uw fact-checker of AI hoeft ook geen taalcursusje meer te doen.
Ta sprawa jest prosta (makkelijkj zat dus),

luntrus
28-09-2023, 11:41 door Anoniem
Ging geheel automatisch. Wat fijn dat het update mechanisme onder LInux goed goed werkt. Echter gebruik ik alleen Chrome als de overheid weer een site heeft opgeleverd die niet goed met Firefox werkt en dat komt helaas nog wel eens voor. Wat zijn dat toch voor programmeurs die zich niet aan de standaard houden!
28-09-2023, 12:57 door Anoniem
Is Edge (onder water Chromium) nu wel of niet ook kwetsbaar?
28-09-2023, 13:37 door Anoniem
Door Anoniem: Is Edge (onder water Chromium) nu wel of niet ook kwetsbaar?

Jawel die is dus ook kwetsbaar en die update zal vandaag/komende dagen wel volgen.
28-09-2023, 17:41 door Anoniem
Door Anoniem:
Door Anoniem: Is Edge (onder water Chromium) nu wel of niet ook kwetsbaar?

Jawel die is dus ook kwetsbaar en die update zal vandaag/komende dagen wel volgen.
Ik denk pas over 3 weken (patch dinsdag) als ze de patch klaar hebben.
Dan heb je nog die grote dienstverleners die maar 1x per maand patchen. Dan ben je zo 2 manden verder.
29-09-2023, 09:50 door Anoniem
Edge kan net als google chrome geupdate worden, door te klikken op about
Duurt een paar dagen voordat het doorkomt.
In linux heb je repositorues van microsoft
29-09-2023, 10:02 door Anoniem
Edge schijnt wél al gepatched te zijn zie https://learn.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security - waar men verwijst naar Chromium: CVE-2023-4863 Heap buffer overflow in WebP
29-09-2023, 12:00 door Anoniem
Goh, "wij" zijn toch altijd fan van open source, open protocol, patent-free en noem maar op ?

VP8 is een codec/container dat precies dat is -

Het gebruikt de 'Matroshka' container (stream formaat )
https://en.wikipedia.org/wiki/Matroska
(open container formaat)

En de codec is zoveel mogelijk patent-free , met steun van google in het gevecht met MPEG (organisatie).

https://en.wikipedia.org/wiki/VP8

De referentie library voor decoding (oorspronkelijk van On2, overgenomen door Google) is open source onder een BSD licentie .

[https://en.wikipedia.org/wiki/Alliance_for_Open_Media

Jammer dat die betweters hier die 'google' lezen en meteen hun 'slimme' analyse "is TLA backdoor" niet eens hun energie stopten in code audits van open source libraries.

voor 28 sep 11:41 : Firefox heeft OOK een emergency update omdat ze dezelfde library gebruiken .
https://www.security.nl/posting/812194/Mozilla+komt+met+noodpatch+voor+libvpx-zeroday+in+Firefox+en+Thunderbird
29-09-2023, 12:52 door Anoniem
Door Anoniem: Ging geheel automatisch. Wat fijn dat het update mechanisme onder LInux goed goed werkt. Echter gebruik ik alleen Chrome als de overheid weer een site heeft opgeleverd die niet goed met Firefox werkt en dat komt helaas nog wel eens voor. Wat zijn dat toch voor programmeurs die zich niet aan de standaard houden!
1. Gisterochtend werd de versie 117 al via een update-popup in Xubuntu aangemeld, dus eens met de eerste opmerking.
2. Omdat de aangifte inkomstenbelasting bij mij niet werkt in Firefox ben ik na een lange zoektocht (welke cookies moeten worden geaccepteerd, welke extensies blokkeren welke cookies, welke extensie moet eventueel tijdelijk worden uitgeschakeld) ook uitgekomen bij Chrome. Waarom via Chrome wel de aangifte inkomstenbelasting lukt? Ik heb geen idee. Maar je voelt je een echte digibeet als een simpele aangifte inkomstenbelasting niet lukt en je de helpdesk moet bellen.
3. "Wat zijn dat toch voor programmeurs die zich niet aan de standaard houden"
Wow. Dat kon wel eens de oorzaak zijn. Ik ben heel benieuwd. Welke standaard? Waarom wordt hiervan afgeweken? Ik lees bijna alles op security.nl maar heb hier nog nooit iets over gelezen. Dat voedde mijn gedachte dat echte experts dit probleem niet hebben. Is er iemand die een tipje van de sluier kan oplichten?
29-09-2023, 13:30 door Anoniem
Door Anoniem:
Door Anoniem: Ging geheel automatisch. Wat fijn dat het update mechanisme onder LInux goed goed werkt. Echter gebruik ik alleen Chrome als de overheid weer een site heeft opgeleverd die niet goed met Firefox werkt en dat komt helaas nog wel eens voor. Wat zijn dat toch voor programmeurs die zich niet aan de standaard houden!
1. Gisterochtend werd de versie 117 al via een update-popup in Xubuntu aangemeld, dus eens met de eerste opmerking.
2. Omdat de aangifte inkomstenbelasting bij mij niet werkt in Firefox ben ik na een lange zoektocht (welke cookies moeten worden geaccepteerd, welke extensies blokkeren welke cookies, welke extensie moet eventueel tijdelijk worden uitgeschakeld) ook uitgekomen bij Chrome. Waarom via Chrome wel de aangifte inkomstenbelasting lukt? Ik heb geen idee. Maar je voelt je een echte digibeet als een simpele aangifte inkomstenbelasting niet lukt en je de helpdesk moet bellen.

Misschien moet je dan ook niet zo zitten kutten met extensies, blockers, filters, denies - en dan maar verbaasd zijn dat 'het niet werkt' .

Jij wilt de tweakende pro expert zijn - dan los je de problemen ervan ook maar op.
Chrome zal gewerkt hebben omdat je daar een hoop van die tweaks en extensies niet geinstalleerd had.


3. "Wat zijn dat toch voor programmeurs die zich niet aan de standaard houden"
Wow. Dat kon wel eens de oorzaak zijn. Ik ben heel benieuwd. Welke standaard? Waarom wordt hiervan afgeweken? Ik lees bijna alles op security.nl maar heb hier nog nooit iets over gelezen. Dat voedde mijn gedachte dat echte experts dit probleem niet hebben. Is er iemand die een tipje van de sluier kan oplichten?

De poster voor je roept maar wat.
Probeer het eens met firefox zonder al die filter meuk . Of stop er nog meer tijd in.
29-09-2023, 16:37 door Anoniem
Falcon, nog even een ouderwetse strakke browser.

En ja linux is niet alleen zaligmakend en open software kent ook holes.
Het blijft nog eventjes mensenwerk, toch?

En Brendan Eich heeft ook niet alles voor javascript voorzien, hij is orthodox en geen AI.

Onderzoekt alle dingen en behoudt het goede.

CSS Exfill Protection en LocalCDN zijn niet verkeerd hoor.

@webproxy
01-10-2023, 14:31 door Anoniem
Door Anoniem: Falcon, nog even een ouderwetse strakke browser.

Uit https://en.wikipedia.org/wiki/Falkon
Falkon (formerly QupZilla[5]) is a free and open-source web browser developed by KDE. It is built on the QtWebEngine,[6][7] which is a wrapper for the Chromium browser core.[8]

Inderdaad zijn wel een aantal Google APIs eruit gehaald lees
https://wiki.qt.io/QtWebEngine

maar het is dus ook de Chromium engine .
Ik heb niet meteen kunnen terugvinden of Falcon uberhaupt WebM /VP8 ondersteunt, maar zo ja valt te verwachten dat dat ook met door libvpx gedaan wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure