image

Google Chrome opnieuw kwetsbaar door "patch-gap"

dinsdag 10 september 2019, 10:06 door Redactie, 12 reacties
Laatst bijgewerkt: 10-09-2019, 14:42

Google Chrome is opnieuw kwetsbaar wegens een "patch-gap" in de JavaScript-engine die de browser gebruikt, zo stelt onderzoeker István Kurucsai van securitybedrijf Exodus Intelligence. Er is sprake van een patch-gap wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken.

In het geval van Google Chrome speelt het probleem bij de V8 JavaScript-engine waar de browser gebruik van maakt. Een kwetsbaarheid in dit opensource-onderdeel werd halverwege augustus gepatcht. De oplossing voor Google Chrome zal later vandaag pas verschijnen. Aanvallers kunnen het tijdsvenster tussen de opensourcepatch en Chrome-patch misbruiken om een exploit te ontwikkelen en zo gebruikers aan te vallen.

Via de kwetsbaarheid in de JavaScript-engine kan een aanvaller willekeurige code uitvoeren. Om het onderliggende systeem over te nemen is er echter een tweede kwetsbaarheid vereist om uit de sandbox van Chrome te breken. Gebruikers kunnen in afwachting van de update het uitvoeren van JavaScript in de browser uitschakelen. In april ontdekte Kurucsai ook al een patch-gap dat door de V8-engine werd veroorzaakt en eind augustus stelde ook Google dat er door de JavaScript-engine een patch-gat was ontstaan.

Reacties (12)
10-09-2019, 10:33 door Anoniem
het blijft stil ineens bij al die Google Chrome adepten .
10-09-2019, 11:14 door Anoniem
Door Anoniem: het blijft stil ineens bij al die Google Chrome adepten .
Waarom? Google heeft een fout gemaakt/begaan.

Zoals menige software leveranciers.

En er komt vandaag een update (geeft het artikel aan).

Wil je zeuren om te zeuren?
10-09-2019, 11:26 door Anoniem
JavaScript issue met tagged foo object back-up.
10-09-2019, 11:26 door Anoniem
Betekent dit dat Chrome OS ook kwetsbaar is?
10-09-2019, 11:45 door Anoniem
Dat is gewoon een slecht releasebeleid. Bij bijvoorbeeld Mozilla worden security updates zo snel mogelijk aangeboden, op beide de consumenten en LTS versie. Er wordt dan niet gewacht tot er een feature release komt.
10-09-2019, 13:28 door Anoniem
Waarom heeft Google dit lek niet ZELF in hun eigen product gevonden en groot in het nieuws gebracht?
10-09-2019, 14:24 door Anoniem
is het alweer zover?
10-09-2019, 20:29 door Anoniem
Door Anoniem: Waarom heeft Google dit lek niet ZELF in hun eigen product gevonden en groot in het nieuws gebracht?

Omdat ze dat alleen bij concurenten doen om deze zo een slechte naam proberen te bezorgen.
Wijs vooral naar een ander en de rest van de wereld krijgt een middelvinger bij Google.
10-09-2019, 20:32 door Anoniem
Een opensource brouwser zou nu al gepatched zijn maar ja, die closed source boeren zijn altijd wat later.
11-09-2019, 07:59 door [Account Verwijderd] - Bijgewerkt: 11-09-2019, 08:06
Door Anoniem: het blijft stil ineens bij al die Google Chrome adepten .

Is er een probleem dan? Ik lees "Via de kwetsbaarheid in de JavaScript-engine kan een aanvaller willekeurige code uitvoeren. Om het onderliggende systeem over te nemen is er echter een tweede kwetsbaarheid vereist om uit de sandbox van Chrome te breken." dus ik snap deze prioriteitstelling van Google best wel.

Door Anoniem: Waarom heeft Google dit lek niet ZELF in hun eigen product gevonden en groot in het nieuws gebracht?

Dat hebben ze gedaan (want die V8 JavaScript engine is van Google).

https://v8.dev/
11-09-2019, 09:59 door Anoniem
Google beweegt net AMP HTML weg van JavaScript. De AMP pagina wordt razendsnel voorgeladen, maar niet als uri getoond.

De goegemeente denkt dus op het echte webpagina-adres te zitten.
Blokkeren van iFrame gelanceerde ads is zo flink moeilijker.

Winst-winst situatie voor de mega adboer Google.
Voor de ranking moet dus ieder aan de AMP.
Wat een "floepers", die Google Bijbuigers.

Jodocus Oyevaer
11-09-2019, 15:30 door Anoniem
Ga maar maar de online Google Search Control AMP test.
De eventuele AMP HTML pagina is daar in te zien.
Google zal ons steeds vaker door coderingshoepeltjes laten springen. Zoveel is wel zeker.
Monocultures a la Google zijn a priori kwetsbaar.
Alle cyber-vingers wijzen immers dan maar Kw*ty*.
luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.