Chrome blokkeert ongewenst doorsturen naar websites
Google heeft gisterenavond Chrome 68 uitgebracht die 42 kwetsbaarheden verhelpt, alle http-sites als niet veilig beschouwt en verschillende beveiligingsmaatregelen doorvoert. Via de beveiligingslekken had een aanvaller in het ergste geval data van andere websites kunnen stelen of aanpassen.
Verder blokkeert Chrome nu het ongewenst doorsturen naar websites. Het gaat dan om content die zich in iframes bevindt. Voorheen was het via dergelijke iframes mogelijk om zonder interactie van gebruikers een andere website te laden. De functionaliteit wordt door allerlei soorten websites gebruikt, waaronder single-sign-on-providers en betalingsverwerkers.
Volgens Google wordt er echter ook veel misbruik van gemaakt, waarbij gebruikers zonder hun medeweten of toestemming naar ongewenste bestemmingen worden doorgestuurd. Met Chrome 68 zal content in een iframe niet zomaar meer een andere website kunnen laden. Dit is alleen nog mogelijk met toestemming van de gebruiker. Zodra Chrome het gedrag waarneemt, net als bij een pop-up, krijgt de gebruiker de optie om de redirect toe te staan.
Code-injectie
Om crashes te voorkomen van de browser te voorkomen blokkeert Chrome 68 het injecteren van code door third-party software. De maatregel geldt voor de Windows-versie van Chrome. Volgens Google heeft tweederde van de Chrome-gebruikers op Windows software geïnstalleerd die interacties met Chrome heeft, zoals anti-virussoftware. Gebruikers met software die code in Chrome injecteert hebben 15 procent meer kans om met crashes te maken krijgen.
Google stelt dat er alternatieven zijn voor het injecteren van code binnen Chrome-processen. Chrome 68 blokkeert daarom het injecteren van code door third-party software in de Windows-versie van Chrome. In het geval Chrome hierdoor niet kan starten, zal de browser zichzelf herstarten en het injecteren van de code toelaten, maar gebruikers een waarschuwing laten zien waarin het verwijderen van de verantwoordelijke software wordt uitgelegd. Met de lancering van Chrome 72 in januari 2019 zal het injecteren van code geheel worden geblokkeerd.
Http
Gisteren verscheen al het bericht dat Chrome 68 alle http-sites als 'niet veilig' beschouwt. Google adviseert webmasters van http-sites naar https te migreren. Daarvoor verwijst het naar deze migratiehandleiding. Met de lancering van Chrome 69 zal bij https-sites de melding "veilig" verdwijnen. Uiteindelijk zal Chrome bij https-sites ook het slotje niet meer weergeven. Updaten naar Chrome 68.0.3440.75 zal op de meeste systemen automatisch gebeuren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.