Google verhelpt Chrome-lek waarvoor exploit online beschikbaar is
Google heeft een beveiligingsupdate voor Chrome uitgebracht waarmee zeven kwetsbaarheden worden verholpen, waaronder een beveiligingslek waarvoor sinds 14 april een exploit online beschikbaar is. Wederom is er sprake van een zogeheten "patch gap" in de browser van Google.
Een patch gap doet zich voor wanneer er een beveiligingslek in opensourcesoftware is gepatcht, maar deze patch nog niet is uitgerold onder de programma's die van de opensourcesoftware gebruikmaken. In dit geval, net als een week geleden, gaat het om een kwetsbaarheid in de V8 JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript.
Op 5 april meldde beveiligingsonderzoeker Jose Martinez een kwetsbaarheid in de V8-engine aan Google. Het beveiligingslek, CVE-2021-21224, werd op 12 april door Google in de JavaScript-engine verholpen. Het techbedrijf maakte de bijbehorende regress/unittest openbaar. Aan de hand van deze informatie lukte het een andere onderzoeker om de onderliggende kwetsbaarheid te achterhalen en ontwikkelde vervolgens een exploit, die online werd geplaatst.
Een zelfde situatie deed zich ook al een week geleden voor met een kwetsbaarheid in de V8 JavaScript-engine. Via beide beveiligingslekken in de V8-engine kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen.
Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel deze kwetsbaarheden te compromitteren. Hiervoor is een tweede beveiligingslek vereist. De overige zes beveiligingslekken die Google binnen Chrome heeft opgelost hebben een zelfde impact, die als "high" wordt bestempeld.
In maart maakte Google bekend dat het later dit jaar elke vier weken een nieuwe Chrome-versie gaat uitbrengen, mede om de patch gap sneller te dichten. Updaten naar de nieuwste versie van Google Chrome voor Linux, macOS en Windows, herkenbaar aan versienummer 90.0.4430.85, zal op de meeste systemen automatisch gebeuren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.