Nieuws
image

Google vindt 31 lekken in Chrome, Edge, Firefox, IE en Safari

vrijdag 22 september 2017, 11:31 door Redactie, 4 reacties

Google heeft een opensource-beveiligingstool ontwikkeld waarmee het 31 beveiligingslekken in Chrome, Edge, Firefox, Internet Explorer en Safari heeft gevonden. De tool, Domato genaamd, richt zich op het Document Object Model (DOM) van de browser. Het DOM is een programmeerinterface voor html- en xml-documenten. Het definieert de logische structuur van documenten en de manier waarop een document wordt benaderd en gemanipuleerd.

De DOM-engines in browsers zijn volgens Ivan Fratric van Google een voorname bron van beveiligingslekken. Veel van deze kwetsbaarheden zijn eenvoudig te vinden via een fuzzer, aldus Fratric. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.

Fratric ontwikkelde Domato om de DOM-engines van Chrome, Edge, Firefox, Internet Explorer en Safari te testen. Dit leverde in totaal 31 unieke kwetsbaarheden op, waarvan 17 in Safari. Via de kwetsbaarheden zou een aanvaller in het ergste geval willekeurige code op het systeem kunnen uitvoeren, bijvoorbeeld als er een kwaadaardige of gehackte website zou worden bezocht.

Volgens Fratric is het aantal kwetsbaarheden in Safari, in vergelijking met de andere browsers, zorgwekkend. Zeker gezien de interesse van aanvallers in het platform, zoals blijkt uit de beloningen voor zeroday-exploits en recente gerichte aanvallen op iOS. De kwetsbaarheden die via Domato zijn gevonden zijn inmiddels allemaal gepatcht. Daarnaast heeft Google de fuzzer via GitHub open source gemaakt, zodat browserontwikkelaars en onderzoekers ermee aan de slag kunnen gaan.

Image

Reacties (4)
22-09-2017, 13:13 door Anoniem
Apple Safari bugs - daar gaan we na iOS 10.3.3 geen updates meer voor zien vrees ik (op oudere devices).
22-09-2017, 23:22 door swake
Wie kent het spreekwoord "De beste stuurlui staan aan wal " ?
Hoeveel lekken worden er maandelijks niet gedicht in het Androïd besturingssysteem ?
Tja als je meer tijd neemt om anderen hun lekken op te sporen , heb je de tijd niet om een fatsoenlijk OS te ontwikkelen !
23-09-2017, 11:51 door Anoniem
Door swake: Wie kent het spreekwoord "De beste stuurlui staan aan wal " ?
Hoeveel lekken worden er maandelijks niet gedicht in het Androïd besturingssysteem ?
Tja als je meer tijd neemt om anderen hun lekken op te sporen , heb je de tijd niet om een fatsoenlijk OS te ontwikkelen !
Hoeveel lekken worden er maandelijks niet gedicht in ALLE besturingssystemen?
Dit specifieke artikel gaat over de DOM van browsers en heeft niets te maken met OS onderdelen, ga ergens anders huilen, het zou je sieren als je op de inhoud van het artikel reageert.
23-09-2017, 17:51 door Anoniem
Door swake: Wie kent het spreekwoord "De beste stuurlui staan aan wal " ?
Hoeveel lekken worden er maandelijks niet gedicht in het Androïd besturingssysteem ?
Tja als je meer tijd neemt om anderen hun lekken op te sporen , heb je de tijd niet om een fatsoenlijk OS te ontwikkelen !
Zeg er werkt wel meer dan één persoon bij Google hoor, misschien zelfs wel drie (een voor Android, een voor het tool, en een manager). Kijk ook eens rond bij je supermarkt, daar zijn ook meerdere vakkenvullers,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search