image

Google verhelpt derde actief aangevallen Chrome-lek binnen een week

donderdag 16 mei 2024, 09:39 door Redactie, 9 reacties

Google heeft voor de derde keer binnen een week een kwetsbaarheid in Chrome verholpen waar aanvallers actief misbruik van maakten voordat de update beschikbaar was. Net als het beveiligingslek dat op 13 mei werd gepatcht gaat het ook nu om een kwetsbaarheid in V8, aangeduid als CVE-2024-4947. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript.

De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd op 13 mei door twee onderzoekers van antivirusbedrijf Kaspersky gemeld.

Google Chrome krijgt vaker met actief aangevallen beveiligingslekken te maken, maar drie van dergelijke kwetsbaarheden binnen één week is niet eerder voorgekomen. Op 9 mei kwam Google met een update voor een aangevallen beveiligingslek in het 'Visuals' onderdeel van de browser, aangeduid als CVE-2024-4671. Op 13 mei volgde een update voor de aangevallen V8-kwetsbaarheid (CVE-2024-4761), gevolgd door een tweede V8-kwetsbaarheid gisterenavond (CVE-2024-4947). Het totaal aantal beveiligingslekken dat actief tegen gebruikers is ingezet voordat een patch beschikbaar was komt daarmee op vijf.

Google Chrome 125.0.6422.60/.61 is beschikbaar voor macOS en Windows. Voor Linux is versie 125.0.6422.60 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Reacties (9)
16-05-2024, 10:19 door Anoniem
De vraag is. OK geen privacy op Chrome maar wel de veiligste (dat is wat anders dan privacy!!!).... Maar daardoor ook de meest aangevallen browser Ik gebruik Chrome alleen voor google zaakjes.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt
16-05-2024, 10:44 door Anoniem
Door Anoniem: De vraag is. OK geen privacy op Chrome maar wel de veiligste (dat is wat anders dan privacy!!!).... Maar daardoor ook de meest aangevallen browser Ik gebruik Chrome alleen voor google zaakjes.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt
Sorry hoor maar ik heb nog nooit zo'n domme conclusie gehoord. Veiligheid heeft niets met marktaandeel te maken maar des te meer met ontwikkelaars en het ontwerp. Daarnast deelt Edge ook dezelfde Chromium code base,
16-05-2024, 11:07 door Anoniem
Dito hier, gebruik alleen chrome voor gmail en translate.. de rest gebruik ik wat anders, en dat is elke keer een ander 'merk'..
moeten de 3 en 4 letter afk wat meer werk verzetten om de data weer te reconstrueren...

van chrome weet je dat er een directe lijn ligt naar de 3/4 letter afk.. van de andere vermoedt ik het, want als het groot genoeg is, moet het meedoen, of krijgen ze de volle laag, inclusief rechtzaken,FUD en de hele sjabeng... (denk aan Telegram, Tiktok, assange enz..

Eigenlijk is 1 ding zeker... als het succesvol is in de VS zonder de 'problemen', dan werken ze samen met de 3/4 letter afk..
16-05-2024, 12:34 door Briolet
Door Anoniem: De vraag is. OK geen privacy op Chrome maar wel de veiligste (dat is wat anders dan privacy!!!).... Maar daardoor ook de meest aangevallen browser Ik gebruik Chrome alleen voor google zaakjes.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt

Het ligt eraan of die de V8 JS engine gebruikt. Zoals het artikel schrijft wordt de JS engine door meerdere browsers gebruikt. De vraag is nu of de bug in al deze browsers zit of in de implementatie hoe Chrome met de engine omgaat.

https://v8.dev.

Ik lees b.v. in bovenstaande link dat de node.js engine ook hierop gebasseerd is en die engine draait op mijn nas voor et uitvoeren van JavaScript. Alleen niet binnen een browser.
16-05-2024, 13:54 door Anoniem
En gelijk hebben ze de flags van "refresh 2023" uitgezet, dus krijg je weer die lelijke niet aanpasbare UI
16-05-2024, 13:59 door _R0N_
Door Anoniem: De vraag is. OK geen privacy op Chrome maar wel de veiligste (dat is wat anders dan privacy!!!).... Maar daardoor ook de meest aangevallen browser Ik gebruik Chrome alleen voor google zaakjes.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt

Edge gebruikt dezelfde engine als Chrome dus in feite dezelfde browser met een ander logo.

De kans op een aanval op Chrome gebaseerde browsers is wel groter dan op bijvoorbeeld Firefox of Opera omwille van het marktaandeel maar wil niet zeggen dat die browsers dan veiliger zijn.
16-05-2024, 18:34 door Anoniem
Door _R0N_:
Door Anoniem: De vraag is. OK geen privacy op Chrome maar wel de veiligste (dat is wat anders dan privacy!!!).... Maar daardoor ook de meest aangevallen browser Ik gebruik Chrome alleen voor google zaakjes.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt

Edge gebruikt dezelfde engine als Chrome dus in feite dezelfde browser met een ander logo.

De kans op een aanval op Chrome gebaseerde browsers is wel groter dan op bijvoorbeeld Firefox of Opera omwille van het marktaandeel maar wil niet zeggen dat die browsers dan veiliger zijn.
Dank je , helder antwoord!
Maakt het eigenlijk niet uit welke browser je gebruikt wat veiligheid betreft.? Of gaat het om het updaten, zo snel mogelijk?
16-05-2024, 23:13 door Anoniem
Andere dan Chrome of op chromium gebaseerde browsers worden minder aangevallen. Ook een goede script blokker als NoScript juist kunnen toggelen helpt al enorm.

#laufer
16-05-2024, 23:54 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: De vraag is. OK geen privacy op Chrome maar wel de veiligste (dat is wat anders dan privacy!!!).... Maar daardoor ook de meest aangevallen browser Ik gebruik Chrome alleen voor google zaakjes.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt

Edge gebruikt dezelfde engine als Chrome dus in feite dezelfde browser met een ander logo.

De kans op een aanval op Chrome gebaseerde browsers is wel groter dan op bijvoorbeeld Firefox of Opera omwille van het marktaandeel maar wil niet zeggen dat die browsers dan veiliger zijn.
Dank je , helder antwoord!
Maakt het eigenlijk niet uit welke browser je gebruikt wat veiligheid betreft.? Of gaat het om het updaten, zo snel mogelijk?
Sorry hoor, maar kan je ook nog zelf nadenken? Patchen moet altijd zo snel mogelijk maar er zijn ook browsers die weinig patches uitbrengen, dan valt er niks te updaten. Misschien werkt daar wel een hele goede programmeur met security in mind (ja die zijn er) of het wordt slecht onderhouden of ze gebruiken een taal die je behoedt voor domme dingen. Allerlei mogelijkheden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.