Google dicht opnieuw actief aangevallen zerodaylek in Chrome
Voor de tweede keer deze maand en de zevende keer dit jaar heeft Google een beveiligingsupdate uitgebracht voor een actief aangevallen zerodaylek in Chrome. De kwetsbaarheid, aangeduid als CVE-2021-30554, bevindt zich in WebGL, een JavaScript API die Chrome en andere browsers gebruiken voor het weergeven van 2D- en 3D-content in de browser.
De impact van het beveiligingslek is als "high" beoordeeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.
Details over de waargenomen aanvallen, zoals het aantal slachtoffers, wanneer de aanvallen plaatsvonden en hoe, zijn niet door Google gegeven. Vorige week meldde antivirusbedrijf Kaspersky dat een ander zerodaylek in Chrome recentelijk is gebruikt bij aanvallen tegen verschillende bedrijven. De nu verholpen kwetsbaarheid werd op 15 juni door een anonieme beveiligingsonderzoeker aan Google gerapporteerd.
Gebruikers krijgen het advies om te updaten naar Google Chrome 91.0.4472.114, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen.
Hieronder een overzicht van de zeven zerodaylekken in Google Chrome en wanneer ze zijn verholpen. Recentelijk bleek dat Google dit jaar een recordaantal zerodays heeft geregistreerd.
- CVE-2021-21148 - 4 februari
- CVE-2021-21166 - 2 maart
- CVE-2021-21193 - 12 maart
- CVE-2021-21220 - 13 april
- CVE-2021-21224 - 20 april
- CVE-2021-30551 - 9 juni
- CVE-2021-30554 - 17 juni
Ik vermoed wel, Maar het zou fijn zijn als iemand met kennis een heldere uitspraak hierover zou kunnen doen.
Bij voorbaat: hartelijk dank!
En daarmee kom ik op het volgende:
Ik ben naar aanleiding van dit nieuws benieuwd wanneer er een update komt voor Chromium in Linux Mint 19.3.
In tegenstelling tot Linux Mint 20.1 is de update-interval voor Chromium in Linux Mint 19 namelijk trager heb ik sinds december 2020 ervaren.
Puzzlemaker hackers misbruiken de exploit van de WGL JavaScript API.
Vandaar de puzzlemaker groep.
luntrus
Met een enkele cheat velletje kom je er niet.
En het besef dat aanvallen altijd doorgaan.
Zij hebben over de hele linie genoeg aan een kleingaatje om zich doorheen te wurmen.
Als verdediging moet je steeds alles over de hele linie in de gaten houden. Dat is nog wel een verschil.
Ik zit nogal eens in de browser console en kijk via een DOM-XSS scanner naat kwetsbaarheden en locaal herschrijven.
Snap ook niet waarom Google de vulners extensie voor Chrome en chromium-browsers heeft gediskwalificeerd.
Je krijgt daarmee gelijk een overzicht van wat er zoal aan script kwetsbaar zou kunnen zijn.
Ook aflooptijden van scripts kunnen problemen aanduiden, iets te lange aflooptijd dan verwacht,
dan subiet nagaan wat er aan schort.
Veiligheid is echter steeds laagsgewijs. Connectie veiligheid toegevoegd, header-security, Content Security Policy,
analyse van 301-307 naar juiste 200 connecties geanalyseerd.
luntrus
Met een enkele cheat velletje kom je er niet.
En het besef dat aanvallen altijd doorgaan.
Zij hebben over de hele linie genoeg aan een kleingaatje om zich doorheen te wurmen.
Als verdediging moet je steeds alles over de hele linie in de gaten houden. Dat is nog wel een verschil.
Ik zit nogal eens in de browser console en kijk via een DOM-XSS scanner naat kwetsbaarheden en locaal herschrijven.
Snap ook niet waarom Google de vulners extensie voor Chrome en chromium-browsers heeft gediskwalificeerd.
Je krijgt daarmee gelijk een overzicht van wat er zoal aan script kwetsbaar zou kunnen zijn.
Ook aflooptijden van scripts kunnen problemen aanduiden, iets te lange aflooptijd dan verwacht,
dan subiet nagaan wat er aan schort.
Veiligheid is echter steeds laagsgewijs. Connectie veiligheid toegevoegd, header-security, Content Security Policy,
analyse van 301-307 naar juiste 200 connecties geanalyseerd.
luntrus
Dit is niet dchtt een JavaScript probleem, die is een browser API bug.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.