Kritieke kwetsbaarheid in Google Chrome maakt remote code execution mogelijk
Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden verhelpt, waaronder een kritiek beveiligingslek waardoor een aanvaller op afstand willekeurige code kan uitvoeren met de rechten van de ingelogde gebruiker. Google is van plan om Chrome 84 binnen dertig dagen onder alle Chrome-gebruikers uit te rollen.
De kwetsbaarheid is aanwezig in "background fetch", een onderdeel van de browser dat in de achtergrond grote bestanden zoals films, podcasts en levels van games kan downloaden. Technische details over het beveiligingslek zijn nog niet gegeven, behalve dat het lek gebruikt kan worden om een heap buffer overflow te veroorzaken. Vervolgens is het mogelijk om willekeurige code uit te voeren.
Het beveiligingslek werd gevonden door onderzoekers Leecraso en Guang Gong van 360 Alpha Lab, die het probleem op 8 juli aan Google rapporteerden. In april wisten beide onderzoekers ook al een kritieke kwetsbaarheid in Chrome te vinden. In tegenstelling tot andere browsers worden kritieke kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden.
Vorig jaar ging het om een "recordaantal" van vijf "critical" kwetsbaarheden. Het jaar daarvoor waren het er vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden. Dit jaar staat de teller op drie.
Naast het kritieke beveiligingslek zijn er ook 37 andere kwetsbaarheden in de browser met een lagere impact opgelost. Het ging onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.
Http-downloads
Chrome 84 introduceert ook verschillende nieuwe features. Zo zal de desktopversie van de browser gebruikers voortaan waarschuwen wanneer ze op een https-website bestanden via http downloaden. Uiteindelijk zal Chrome "onveilige downloads" helemaal blokkeren. Met de lancering van Chrome 84 zullen de eerste waarschuwingen verschijnen, gevolgd door een volledige blokkade in Chrome 88.
Google Chrome beschikt over een automatische updatefunctie. In het geval van een kritische kwetsbaarheid probeert Google alle Chrome-gebruikers binnen dertig dagen naar de laatste versie te updaten. Gebruikers kunnen ook door "chrome://settings/help" in de adresbalk in te voeren Chrome 84.0.4147.89 downloaden.
een nieuwe versie die meteen allerlei nieuwe functionaliteit of verlies van bestaande functionaliteit meebrengt.
Je moet dan soms een oude browser bij de hand houden om nog te kunnen wat je wilt kunnen (bijvoorbeeld het
configureren van een wat ouder apparaat wat een web interface heeft).
Sterker nog, dit houdt sommige mensen tegen om ueberhaupt updates te doen. Vervelende ervaringen uit het
verleden kunnen heel lang een stempel zetten op het toekomstig gedrag.
Daar zouden browsermakers wel eens wat meer bij mogen stilstaan, in plaats van zich voortdurend de messias te
voelen in het te volgen traject van de wereld.
Je moet dan soms een oude browser bij de hand houden om nog te kunnen wat je wilt kunnen (bijvoorbeeld het configureren van een wat ouder apparaat wat een web interface heeft).
.
Je moet dan soms een oude browser bij de hand houden om nog te kunnen wat je wilt kunnen (bijvoorbeeld het configureren van een wat ouder apparaat wat een web interface heeft).
.
Dat soort gevallen zijn typisch embedded systeempjes . Het zijn bijvoorbeeld out-of-band management kaarten in servers, remote powerswitches (stekkerblokken voor in een datacenter, waarop je kunt inloggen om de stroom aan/uit te schakelen).
Vast ook dingen als gebouwbeheer (koeling, verwarming e.d.) .
Soms _eisen_ ze een java plugin . Of een SSL versie/algorithmes die moderne browsers niet meer willen doen.
En dan is het irritant dat je een VM met een oude browser moet bijhouden om zo af toe iets op z'n ding te kunnen doen.
Huh? Wat hebben grafen hier nou weer mee te maken? https://en.m.wikipedia.org/wiki/Graph_theory
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.