image

Google meldt actief misbruik van V8-kwetsbaarheid in Chrome

dinsdag 27 augustus 2024, 09:32 door Redactie, 6 reacties

Aanvallers maken actief misbruik van een kwetsbaarheid in Chrome waar op 21 augustus een update voor verscheen. Het beveiligingslek, aangeduid als CVE-2024-7965, bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het afgelopen jaar zijn er al meerdere actief aangevallen kwetsbaarheden in V8 gevonden en gepatcht.

Op 21 augustus kwam Google met updates voor Chrome die een actief aangevallen V8-kwetsbaarheid verhielpen met het CVE-nummer CVE-2024-7971. Gisterenavond heeft Google het beveiligingsbulletin bijgewerkt en laat nu weten dat aanvallers ook misbruik van CVE-2024-7965 maken. Dit werd na het uitkomen van de updates bij Google gemeld. Details over de aanvallen zijn niet gegeven.

De impact van beide kwetsbaarheden is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Beide kwetsbaarheden zijn verholpen in Google Chrome 128.0.6613.84/.85 voor macOS en Windows. Voor Linux is versie 128.0.6613.84 verschenen. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is de update waarmee beide beveiligingslekken zijn verholpen op 22 augustus uitgekomen.

Reacties (6)
27-08-2024, 10:15 door Anoniem
Het is verstandig om afscheid te nemen van Crome,
kies voor privacyvrienderlijke alternatieven.
27-08-2024, 12:03 door Anoniem
Door Anoniem: Het is verstandig om afscheid te nemen van Crome,
kies voor privacyvrienderlijke alternatieven.

Misschien een overweging, alleen heeft issue hier helemaal niets mee te maken. Sterker nog, het is zelfs waarschijnlijk dat dit zelfde software defect ook in de meeste andere browsers voorkomt en ik ben dan ook benieuwd hoe snel de dan "privacy vriendelijke" browsers gepatched zijn voor dit defect. Als je daar nu eens een onderbouwde uitspraak over kon doen dan zou je reactie daadwerkelijk wat hebben bijgedragen!
27-08-2024, 12:09 door Anoniem
Door Anoniem: Het is verstandig om afscheid te nemen van Crome,
kies voor privacyvrienderlijke alternatieven.

Crome had ik sowieso al niet…….
27-08-2024, 14:44 door wim-bart
Door Anoniem:
Door Anoniem: Het is verstandig om afscheid te nemen van Crome,
kies voor privacyvrienderlijke alternatieven.

Crome had ik sowieso al niet…….
Op Firerefox, Safari en wat nische browsers na is alles gebaseerd op Chrome. En lopen dan ook achter op Chrome.
27-08-2024, 15:54 door Briolet - Bijgewerkt: 27-08-2024, 15:58
Door wim-bart:
Door Anoniem:
Door Anoniem: Het is verstandig om afscheid te nemen van Crome,
kies voor privacyvrienderlijke alternatieven.

Crome had ik sowieso al niet…….
Op Firerefox, Safari en wat nische browsers na is alles gebaseerd op Chrome. En lopen dan ook achter op Chrome.

Concreter. Chrome en Edge gebruiken de V8 engine. Firefox hun SpiderMonkey engine en Safari de Niro engine (ook wel JavaScriptCore genoemd).

De V8 engine van Chrome is open source, dus kun je verwachten dat veel van die "privacy vriendelijke browsers" gekozen hebben voor de V8 engine en dus just ook deze bug bevatten.
27-08-2024, 19:17 door Anoniem
Gebruikt Brave ook V8? dus ook beter niet meer gebruiken?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.