image

Google rolt update uit voor actief aangevallen zerodaylek in Chrome

maandag 27 september 2021, 09:18 door Redactie, 9 reacties
Laatst bijgewerkt: 27-09-2021, 10:55

Google heeft voor de elfde keer dit jaar een actief aangevallen zerodaylek in Chrome gepatcht. Het beveiligingslek, aangeduid als CVE-2021-37973, is aanwezig in Portals. Dit is een API die ervoor zorgt dat pagina's op een bezochte website sneller worden geladen. De impact van de kwetsbaarheid is als "high" beoordeeld.

Het gaat in dit geval om kwetsbaarheden waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Details over de waargenomen aanvallen, zoals het aantal slachtoffers, wanneer de aanvallen plaatsvonden en hoe, zijn niet door Google gegeven. De Google Threat Analysis Group ontdekte het zerodaylek. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.

Gebruikers krijgen het advies om te updaten naar Google Chrome 94.0.4606.61, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Microsoft heeft vrijdag ook een update voor de eigen browser uitgerold.

Hieronder een overzicht van de elf zerodaylekken in Google Chrome en wanneer ze zijn verholpen. Recentelijk bleek dat Google dit jaar een recordaantal zerodays heeft geregistreerd.

  • CVE-2021-21148 - 4 februari
  • CVE-2021-21166 - 2 maart
  • CVE-2021-21193 - 12 maart
  • CVE-2021-21220 - 13 april
  • CVE-2021-21224 - 20 april
  • CVE-2021-30551 - 9 juni
  • CVE-2021-30554 - 17 juni
  • CVE-2021-30563 - 15 juli
  • CVE-2021-30632 - 13 september
  • CVE-2021-30633 - 13 september
  • CVE-2021-37973 - 24 september

Update

In eerste instantie werd gemeld dat Microsoft nog met een update voor Edge moest komen, maar die is vrijdag uitgebracht. Dit is aangepast in het artikel.

Reacties (9)
27-09-2021, 09:27 door Anoniem
goed bezig gooGoogle
27-09-2021, 10:11 door [Account Verwijderd]
Gebruikers krijgen het advies om te updaten naar Google Chrome 94.0.4606.61, die beschikbaar is voor Linux, macOS en Windows. Dit zal op de meeste systemen automatisch gebeuren. Microsoft Edge Chromium is net als Chrome op de Chromium-browser gebaseerd. Naar verwachting zal Microsoft snel met een update voor de eigen browser komen.

En zo zie je weer hoe alle andere partijen gewoon snel hun updates kunnen uitrollen maar het wéér Microsoft is die erachteraan huppelt en is staat blijkt om het prima werkende open source Chromium, dat de basis vormt voor hun Edge browser, om zeep te helpen. Microsoft blijkt wederom het grootste gevaar voor de veiligheid van de gebruiker. Microsoft is de belichaming van het kwaad, een van de vier ruiters van de Apocalyps (ik vermoed het witte paard).
27-09-2021, 10:24 door Anoniem
Edge heeft al een update gehad.
27-09-2021, 10:28 door [Account Verwijderd] - Bijgewerkt: 27-09-2021, 10:31
[Verwijderd door moderator]
27-09-2021, 10:52 door [Account Verwijderd] - Bijgewerkt: 27-09-2021, 10:52
[Verwijderd door moderator]
27-09-2021, 11:06 door [Account Verwijderd]
[Verwijderd door moderator]
27-09-2021, 12:04 door [Account Verwijderd] - Bijgewerkt: 27-09-2021, 12:31
Door Anoniem: Edge heeft al een update gehad.

Dan moet ik toegeven dat de vertraging in dit geval meevalt. (Met dank aan het superieure updatemechanisme dat onderdeel is van Chromium).

Door Anoniem: Geweldig, het gaat om een bug in Google en men begint MS te bashen. Wat is er mis met Google, ze zoeken kwetsbaarheden in producten van jan-en-alleman, maar waarom kijken ze niet eens eerst achter de voordeur?

Google heeft snelle updates maar het leek erop dat Microsoft Edge (veel) later geüpdatet zou worden maar dat lijkt mee te vallen.

#timewarp®
27-09-2021, 12:11 door Anoniem
Geweldig, het gaat om een bug in Google en men begint MS te bashen. Wat is er mis met Google, ze zoeken kwetsbaarheden in producten van jan-en-alleman, maar waarom kijken ze niet eens eerst achter de voordeur?
27-09-2021, 15:25 door Anoniem
Lectori Salutem,

Maar er werd gelijk met de update weer een script in mijn Tamper Monkey extensie eventjes verwijderd.
De vorige keer was ik even al mijn user scripts kwijt. Gelukkig elders opgeslagen.
Zeker omdat het niet strookte met hun gebruikscode of ik te slim voor m'n schoenen ben op javascript gebied.
Dan is het ineens gevaarlijk, zo'n eigen userscript van 1 gebruiker, zoals ik.
Man, man, wat een zeikerds.

Die onverdraagzame onvrijheid begint me steeds meer op te vallen. Zeuren om een account foto.
Zeuren om je geo-locatie. Zeuren omdat je bijna niet meer onder een nick het net op kan.

Ik hunker naar de dagen van vroeger van tweaken en resource engineeren.
Torren zonder op intel.io's blacklists te komen en gebanned te worden in de cloud van de monopolist.

Wordt het online onvrijer en onverdraagzamer, of ben ik dat alleen maar, die dit ervaar?

#hackthembeforetheyhackyou
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.