image

Onderzoeker toont zerodaylekken in Chrome, Edge, Firefox en Safari

vrijdag 22 maart 2024, 09:43 door Redactie, 5 reacties

Beveiligingsonderzoeker Manfred Paul heeft tijdens de Pwn2Own-westrijd in Vancouver zerodaylekken in Google Chrome, Microsoft Edge, Mozilla Firefox en Apple Safari gedemonstreerd, waarmee hij in totaal 202.500 dollar verdiende. Pwn2Own is een jaarlijks terugkerende wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Gedemonstreerde beveiligingslekken worden vervolgens aan de betreffende leverancier gemeld, zodat die het probleem kan verhelpen.

Tijdens de eerste dag demonstreerde Paul een exploit die zowel tegen Chrome als Edge werkte. De aanval alleen is niet voldoende om willekeurige code op het onderliggende systeem uit te voeren. Dit is met de exploit van Paul alleen beperkt tot de browser. Dat geldt ook voor de Safari-aanval die de onderzoeker liet zien. Een aanvaller kan in dit geval nog wel bijvoorbeeld data uit geopende websites stelen.

In het geval van Firefox is het met de exploit die Paul op de tweede dag toonde wel mogelijk om systemen te compromitteren. Door middel van een out-of-bounds write en een 'function bug' lukte het de onderzoeker om willekeurige code uit te voeren en uit de sandbox van de browser te breken. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van besmette advertenties is al voldoende voor een aanvaller om misbruik van het lek te kunnen maken. Voor deze aanval ontving de onderzoeker 100.000 dollar. Details zijn met de browserleveranciers gedeeld, zodat die patches kunnen uitbrengen.

Reacties (5)
22-03-2024, 11:02 door Anoniem
Toch jammer dat Firefox niet geheel is geschreven met Rust.
22-03-2024, 11:35 door Anoniem
Door Anoniem: Toch jammer dat Firefox niet geheel is geschreven met Rust.

Rust roest
22-03-2024, 11:52 door Anoniem
Door Anoniem: Toch jammer dat Firefox niet geheel is geschreven met Rust.
Toch jammer dat je er niet bij zet waarom.
22-03-2024, 12:19 door Anoniem
JavaScript-inter-proces script kwetsbaarheden met escapes via parsing issues.

JavaScript kan een wormendoos blijken en blijven. Goed dat Giorgio Maone met NoScript opdook.
Maar NoScript goed toggelen is weer een te grote opgave voor mijnheer de doorsnee browser-user.

Lees je maar eens in over Caja en de zwakheden ervan:
https://stackoverflow.com/questions/195149/is-it-possible-to-sandbox-javascript-running-in-the-browser

Rust zorgt voor minder kwetsbaarheden, maar is zeker niet zonder en is zeer complex,
waardoor menig developer ervoor en ervan wegloopt.

Maar wellicht gaat dit ons wel redden?
https://tweakers.net/nieuws/219984/github-repareert-automatisch-kwetsbaarheden-in-code-met-ai-tool.html

luntrus
23-03-2024, 02:24 door Anoniem
Fix voor Firefox is er al: Mozilla Foundation Security Advisory 2024-15
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.