Google dicht kritiek lek in Chrome dat remote code execution mogelijk maakte
Google heeft een kritieke kwetsbaarheid in Chrome gedicht waardoor remote code execution mogelijk was. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende voor een aanvaller om willekeurige code op het systeem uit te voeren. In het ergste geval zou er zo volledige controle over het systeem verkregen kunnen worden.
De kwetsbaarheid bevond zich in het spraakherkenningsonderdeel van de browser en werd op 4 april door onderzoekers Leecraso en Guang Gong van securitybedrijf Qihoo 360 aan Google gerapporteerd. Gisterenavond werd de beveiligingsupdate beschikbaar gemaakt. In januari kwam Google ook al met een update voor een kritieke kwetsbaarheid in de spraakherkenning.
Google beloont onderzoekers voor het rapporteren van kwetsbaarheden, waarbij ernstige beveiligingslekken de hoogste beloning opleveren. Zowel voor de kritieke kwetsbaarheid van januari als die van april is de beloning nog niet bekendgemaakt. Onderzoeker Guang Gong ontving vorig jaar 30.000 dollar voor een ernstig lek in Chrome dat hij aan Google rapporteerde. Zijn hoogste beloning van Google staat echter op 200.000 dollar. Dat was voor een aanval waardoor het mogelijk was om Pixel 3-telefoons op afstand over te nemen.
In tegenstelling tot andere browsers worden kritieke kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Vorig jaar ging het om een "recordaantal" van vijf "critical" kwetsbaarheden. Het jaar daarvoor waren het er vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Dit jaar staat de teller al op twee. Updaten naar Chrome 81.0.4044.113 zal op de meeste systemen automatisch gebeuren. Google meldt dat de patch de komende dagen/weken onder gebruikers wordt uitgerold.
2035 CVE entries sinds 1999 voor Internet Explorer, 95 security fixes per jaar.
Google Chrome lijkt kampioen in het aantal lekken voor een browser.
2035 CVE entries sinds 1999 voor Internet Explorer, 95 security fixes per jaar.
Google Chrome lijkt kampioen in het aantal lekken voor een browser.
Het aantal CVE's is echt een slechte indicatie om te duiden hoe 'veilig' een programma is. Het aantal gevonden kwetsbaarheden neemt toe met de complexiteit van een programma, als Chrome meer kan dan IE zal dat voor meer bugs zorgen. Verschillende kwetsbaarheden hebben een verschillende impact, 3 Remote Code Execution bugs zijn schadelijker dan 30 low/medium bugs. Een bug hoeft niet direct te misbruiken zijn, andere mitigaties als een sandbox hebben daar ook invloed op. Nee, er valt echt geen pijl op te trekken om 150 vs 95 CVE's per jaar met elkaar te vergelijken. Bovendien lijkt je te kijken naar een verouderd IE programma wat uitgefaseerd wordt, de toekomst is Internet Explorer Edge wat gewoon Chrome(ium) met een alternatieve skin is. Wat dat betreft zal het in de toekomst gelijk oplopen tussen de twee en heeft het geen toegevoegde waarde om dit soort oude statistieken er bij te halen.
Het aantal lekken over deze lange periode geeft natuurlijk wel aan wat de kwaliteit van de code is. Het verbaast mij al jaren dat kritiek op de hoge aantallen lekken in Chrome en andere Google software zeldzaam is.
Hier hebben we een ik-voel-mij-veilig-omdat-ik-geen-Windows-gebruik-syndroom te pakken. Het is een use-after-free vulnerability in Chrome. Dit soort vulnerabilities zitten voornamelijk in browsers en staan los van het onderliggende OS. Jouw one-line reacties zijn leuk, maar slaan als een tang op een varken.
Lees bijvoorbeeld de volgende website waar ook voor Linux gebruikers wordt geadviseerd om de update te installeren; https://www.cybersecurity-help.cz/vdb/SB2020041625
Het gaat over een drive by infectie. Zonder extra handelingen van de gebruiker. Dat werkt alleen onder windows en is het grote Windows desktop syndroom waar alle enterprise besmettingen mee beginnen.
Verbiedt de windows desktop en je bent van deze driveby ellende af.
Je snapt toch wel dat hele lappen in die Google Chrome broncode gedeeld zijn voor platformen? Dus als je een probleem oplost dat zich alleen op Windows afspeelt dan resulteert dit mogelijk ook in een update voor andere platformen. Waar blijf je nu met jouW geklets?
En over het aantal gevonden fouten in Google Chrome: als je - zoals Google doet - heel actief bezig bent met beveiliging, het doorlichten en verbeteren van de eigen code, dan zal je verhoudingsgewijs veel meer fouten vinden dan bij bedrijven die dat niet doen. Neem Microsoft met haar Windows software als exponent van die laatste groep.
Je snapt toch wel dat hele lappen in die Google Chrome broncode gedeeld zijn voor platformen? Dus als je een probleem oplost dat zich alleen op Windows afspeelt dan resulteert dit mogelijk ook in een update voor andere platformen. Waar blijf je nu met jouW geklets?
En over het aantal gevonden fouten in Google Chrome: als je - zoals Google doet - heel actief bezig bent met beveiliging, het doorlichten en verbeteren van de eigen code, dan zal je verhoudingsgewijs veel meer fouten vinden dan bij bedrijven die dat niet doen. Neem Microsoft met haar Windows software als exponent van die laatste groep.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
