image

Kritiek lek in beveiligingsfunctie Google Chrome laat aanvaller code uitvoeren

donderdag 20 januari 2022, 10:33 door Redactie, 8 reacties

Een kritieke kwetsbaarheid in een belangrijke beveiligingsfunctie van Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval het systeem van gebruikers kan overnemen. Daarbij volstaat het bezoeken van een gecompromitteerde of kwaadaardige website of het te zien krijgen van een besmette advertentie. Er is geen verdere interactie van de gebruiker vereist.

Het beveiligingslek, aangeduid als CVE-2022-0289, bevindt zich in Safe Browsing. Via deze feature waarschuwt Google gebruikers voor malafide websites en downloads, zoals phishingsites en besmette apps. Google onderzoeker Sergei Glazunov ontdekte op 5 januari een "use after free" in de beveiligingsfunctie, waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. De impact van het beveiligingslek is als kritiek beoordeeld.

Kritieke kwetsbaarheden komen zeer zelden voor in Chrome, maar begin dit jaar werd er ook al een dergelijk beveiligingslek in de browser verholpen. Naast het beveiligingslek in Safe Browsing vond Glazunov ook een kwetsbaarheid in een andere beveiligingsfunctie van Chrome, namelijk Site Isolation. Deze beveiligingsfunctie zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites. Dit zorgt voor een betere afscherming tussen websites dan de bestaande Chrome-sandbox kan bieden.

In deze feature trof de Google-onderzoeker ook een "use after free" kwetsbaarheid aan, alleen is de impact daarvan beperkt tot het uitvoeren van code binnen de browser. Het beveiligingslek werd daardoor niet beoordeeld als kritiek, maar kreeg het label "high". Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren.

Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek is op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Google betaalde de eigen medewerker 20.000 dollar voor het beveiligingslek in Site Isolation. Een beloning voor de kwetsbaarheid in Safe Browsing is nog niet bekendgemaakt. Met Chrome 97.0.4692.99 zijn in totaal 26 beveiligingslekken verholpen. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren.

Reacties (8)
20-01-2022, 10:41 door Anoniem
Ach ja. Wanneer worden de mensen een keer wakker en zien het feit dat het www niet zo veilig is als het lijkt. Met welke browser dan ook. Het wordt een keer tijd dat er een simpelere versie van het www komt, een veilige versie.
20-01-2022, 11:32 door Anoniem
Door Anoniem: Ach ja. Wanneer worden de mensen een keer wakker en zien het feit dat het www niet zo veilig is als het lijkt. Met welke browser dan ook. Het wordt een keer tijd dat er een simpelere versie van het www komt, een veilige versie.

AMP bedoel je? Wat een succes is dat geworden ...
20-01-2022, 11:49 door Anoniem
Ga lekker .wel goed opgemerkt
20-01-2022, 12:40 door Anoniem
Door Anoniem: Ach ja. Wanneer worden de mensen een keer wakker en zien het feit dat het www niet zo veilig is als het lijkt. Met welke browser dan ook. Het wordt een keer tijd dat er een simpelere versie van het www komt, een veilige versie.
Terug naar ARPANET en MILNET dus..

I am all in for it . Al denk ik wel dat huidige generaties depressie niveau door het dak dan gaat.
Maar het is een mooie droom om te hebben :)
20-01-2022, 13:01 door walmare
[Verwijderd door moderator]
21-01-2022, 00:12 door Anoniem
Een aanvaller kan net niets met dit lek als je beveiliging in orde is.

Wanneer leren mensen met instant comments eens dat je een csv score krijgt die gebaseerd is op een computer die open aan het internet hangt zonder maatregelen. Net zoals Log4j onlangs, iedereen in paniek... maar het is niet omdat er een kritiek lek gevonden was aanvallers het op jou omgeving zomaar konden misbruiken, het is en en en principe. Calculeer dus eerst de csv score naar je situatie om, bijv via https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
21-01-2022, 18:49 door Anoniem
Wat is het risico als je Chrome gebruikt op een Chromebook? Werk al jaren met chromebooks en heb nog nooit iets gemerkt van virus of malware. Of zie ik het niet?
22-01-2022, 00:57 door Anoniem
Door Anoniem: Wat is het risico als je Chrome gebruikt op een Chromebook? Werk al jaren met chromebooks en heb nog nooit iets gemerkt van virus of malware. Of zie ik het niet?
95% van de malware incidenten is windows
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.