Google voorziet Chrome op Windows 10 van extra beveiliging
Google heeft recentelijk een extra beveiligingsmaatregel aan Chrome op Windows 10 toegevoegd die een echte zero day-aanval op Flash Player en Windows bleek te stoppen. De aanval in kwestie maakte gebruik van een lek in Flash Player en Windows om zo volledige toegang tot het systeem te krijgen.
Chrome beschikt over een sandbox om gebruikers tegen aanvallen te beschermen. Een aanvaller die gebruikers wil aanvallen moet in dit geval over meerdere kwetsbaarheden beschikken. Naast een beveiligingslek in de browser moet er ook een kwetsbaarheid worden gevonden om uit de sandbox te ontsnappen. Chrome beschikt echter ook over een ingebouwde versie van Adobe Flash Player, waarvan Google erkent dat het een zwakke plek is.
Dit komt mede omdat het beveiligingsproces dat wordt gebruikt om de browser zelf te beschermen, niet op Flash Player van toepassing is. Vorig jaar werd de eerste aanval waargenomen waarbij aanvallers een kwetsbaarheid in Flash Player gebruikten in combinatie met een rechtenlek in Windows om uit de sandbox te ontsnappen. Naar aanleiding van deze aanval besloot beveiligingsonderzoeker en Chrome-ontwikkelaar James Forshaw een manier te vinden om het beveiligingsproces dat voor Chrome geldt ook voor Flash Player te laten werken, zodat dergelijke aanvallen kunnen worden voorkomen.
In een technische blogposting omschrijft Forshaw welke stappen hiervoor benodigd waren. Uiteindelijk slaagde hij erin om de beveiligingsmaatregel werkend te krijgen. Dit zorgde echter voor merkbare stabiliteitsproblemen op Windows 8.1 en ouder die niet konden worden opgelost. De problemen worden waarschijnlijk veroorzaakt door interacties met derde partijen, zoals virusscanners, die hun eigen code in het Chrome-proces injecteren. Uiteindelijk werd er daarom besloten de maatregel alleen voor de Chrome-versie op Windows 10 door te voeren, waar de stabiliteit zelfs verbeterde, merkt Forshaw op. Toch hoopt hij in de toekomst de maatregel ook voor Chrome op Windows 8.1 door te voeren. De beveiligingsmaatregel is sinds Chrome 54 van kracht en heeft een zero day-aanval die eind oktober werd ontdekt weten te stoppen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.