Google verhelpt derde actief aangevallen Chrome-lek binnen een week
Google heeft voor de derde keer binnen een week een kwetsbaarheid in Chrome verholpen waar aanvallers actief misbruik van maakten voordat de update beschikbaar was. Net als het beveiligingslek dat op 13 mei werd gepatcht gaat het ook nu om een kwetsbaarheid in V8, aangeduid als CVE-2024-4947. Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript.
De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.
Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De kwetsbaarheid werd op 13 mei door twee onderzoekers van antivirusbedrijf Kaspersky gemeld.
Google Chrome krijgt vaker met actief aangevallen beveiligingslekken te maken, maar drie van dergelijke kwetsbaarheden binnen één week is niet eerder voorgekomen. Op 9 mei kwam Google met een update voor een aangevallen beveiligingslek in het 'Visuals' onderdeel van de browser, aangeduid als CVE-2024-4671. Op 13 mei volgde een update voor de aangevallen V8-kwetsbaarheid (CVE-2024-4761), gevolgd door een tweede V8-kwetsbaarheid gisterenavond (CVE-2024-4947). Het totaal aantal beveiligingslekken dat actief tegen gebruikers is ingezet voordat een patch beschikbaar was komt daarmee op vijf.
Google Chrome 125.0.6422.60/.61 is beschikbaar voor macOS en Windows. Voor Linux is versie 125.0.6422.60 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt
moeten de 3 en 4 letter afk wat meer werk verzetten om de data weer te reconstrueren...
van chrome weet je dat er een directe lijn ligt naar de 3/4 letter afk.. van de andere vermoedt ik het, want als het groot genoeg is, moet het meedoen, of krijgen ze de volle laag, inclusief rechtzaken,FUD en de hele sjabeng... (denk aan Telegram, Tiktok, assange enz..
Eigenlijk is 1 ding zeker... als het succesvol is in de VS zonder de 'problemen', dan werken ze samen met de 3/4 letter afk..
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt
Het ligt eraan of die de V8 JS engine gebruikt. Zoals het artikel schrijft wordt de JS engine door meerdere browsers gebruikt. De vraag is nu of de bug in al deze browsers zit of in de implementatie hoe Chrome met de engine omgaat.
https://v8.dev.
Ik lees b.v. in bovenstaande link dat de node.js engine ook hierop gebasseerd is en die engine draait op mijn nas voor et uitvoeren van JavaScript. Alleen niet binnen een browser.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt
Edge gebruikt dezelfde engine als Chrome dus in feite dezelfde browser met een ander logo.
De kans op een aanval op Chrome gebaseerde browsers is wel groter dan op bijvoorbeeld Firefox of Opera omwille van het marktaandeel maar wil niet zeggen dat die browsers dan veiliger zijn.
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt
Edge gebruikt dezelfde engine als Chrome dus in feite dezelfde browser met een ander logo.
De kans op een aanval op Chrome gebaseerde browsers is wel groter dan op bijvoorbeeld Firefox of Opera omwille van het marktaandeel maar wil niet zeggen dat die browsers dan veiliger zijn.
Maakt het eigenlijk niet uit welke browser je gebruikt wat veiligheid betreft.? Of gaat het om het updaten, zo snel mogelijk?
#laufer
Voor andere dingen andere browsers. Maar ik denk nu dat Edge toch veiliger is dan Chrome.....Want veel minder gebruikt
Edge gebruikt dezelfde engine als Chrome dus in feite dezelfde browser met een ander logo.
De kans op een aanval op Chrome gebaseerde browsers is wel groter dan op bijvoorbeeld Firefox of Opera omwille van het marktaandeel maar wil niet zeggen dat die browsers dan veiliger zijn.
Maakt het eigenlijk niet uit welke browser je gebruikt wat veiligheid betreft.? Of gaat het om het updaten, zo snel mogelijk?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!