image

Gebruikers van Google Chrome opnieuw doelwit van zeroday-aanval

woensdag 17 augustus 2022, 11:08 door Redactie, 15 reacties

Gebruikers van Google Chrome zijn opnieuw het doelwit van een zeroday-aanval geworden. Google heeft een beveiligingsupdate uitgebracht die ook een kritieke kwetsbaarheid verhelpt waardoor aanvallers systemen op afstand kunnen overnemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Details over de waargenomen aanvallen, die Google zelf ontdekte, zijn niet door het techbedrijf gegeven.

Dit jaar heeft Google al meerdere zerodaylekken in Chrome verholpen die al voor het uitkomen van de update werden misbruikt. Eerder was het raak in februari, maart, april en juli. De nieuwste zeroday (CVE-2022-2856) werd vorige maand door onderzoekers van Googles Threat Analysis Group gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.

De impact van de kwetsbaarheid is beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Een andere kwetsbaarheid in de browser maakt het echter wel mogelijk om systemen op afstand over te nemen. Volgens Google wordt er van dit kritieke beveiligingslek, aangeduid als CVE-2022-2852, voor zover bekend geen misbruik gemaakt. Ook deze kwetsbaarheid werd door Google zelf gevonden. Hoewel kritieke beveiligingslekken weinig voorkomen in Chrome staat de teller dit jaar al op zes, wat meer is dan in voorgaande jaren. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.

Naast het aangevallen zerodaylek en de kritieke kwetsbaarheid verhelpen Chrome 104.0.5112.101 voor Mac en Linux en Chrome 104.0.5112.102/101 voor Windows negen andere kwetsbaarheden. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.

Reacties (15)
17-08-2022, 11:55 door Anoniem
Ik dacht dat dat google allemaal tools had om code te controleren????
17-08-2022, 13:07 door Anoniem
Google Chrome is dit jaar kampioen beveiligingslekken in browsers.

https://www.cvedetails.com/product/15031/Google-Chrome.html?vendor_id=1224
17-08-2022, 13:21 door Anoniem
Door Anoniem: Ik dacht dat dat google allemaal tools had om code te controleren????
Google: "JA MAAR IK HEB T' TOCH VERNEUKT!"
17-08-2022, 13:36 door Anoniem
Gelden deze CVE's ook voor andere, op Chrome / Chromium gebaseerde browsers zoals Microsoft Edge?
17-08-2022, 13:47 door Anoniem
op de laaste vraag.ja....waneer stopen we nou eens met die reclamebureau via het internet dat zijn de grootse ratten!
17-08-2022, 14:05 door Anoniem
Daar heb je nu de wrange vruchten van de Google Chrome en chromium monocultuur. Studenten werken overal inmiddels al op Chromebookjes. Opa en oma op hun Chrome tabletjes.
We weten dat het pn*wed is vanwege het onbelemmerd data slurpen hand in foot met overheden en toch gaan we zo door.

Firefox, steeds minder gebruikers, tails en tor hoeveel nog?
Crypto niet echt eindgebruiker veilig, info manipulatie via fact-checking en AI manipulatie. Cloud obstructie. Overheid aan de kant van de institutionele beleggers en beslist niet werkend in dienst van hun onderdanen, die ook digitaal onderdanig dienen te blijven, anders word je gedemoniseerd of uitgekotst door de gemeenschap, waarvan er veel collaboreren met de monopolistische monsters.
Maar ja de waarheid wil steeds minder gehoord zijn.
#obserwator

P.S. mijn digitaal besteld pakje heeft vertraging, vul de code in, betaal en het deurtje van het kluisje gaat open. Zo gaat het in het nieuwe Amerika in Centraal Europa thans. Voorland voor ons?
Drukt de kosten niet want je betaalt het transport aar het kluisje bovenop de prijs, die na elke klik stijgt, want dan wil je het wel graag hebben, denkt de graaier. Koop dan via de reguliere winkel, maar die hebben nou net dat ene kabeltje niet, of voorraad beperkt.
Je digitale wereld wordt voor jou gemaakt conform je opvolgingsbereidheid.
17-08-2022, 15:22 door Anoniem
Fijn toch, zo'n monocultuur? Allemaal dezelfde browser gebruiken, dan komt het goed.

Nu kan iedereen weer Google gaan bashen i.p.v Microsoft. ;-)
17-08-2022, 16:09 door Anoniem
Neen, we bashen wel MS, Alphabet, Meta enz. maar nooit die hierachter zitten, degenen die zowel van neo-liberale als marxistische walletjes willen eten, de institutionele beleggersclub en wij horen bij de institutionele 'beggers'club. Zo spelen ze ons steeds uiteen tegen elkaar en harken alles binnen.
17-08-2022, 20:31 door Anoniem
Wij houden het bij Firefox. Past beter in de live cycle managementomgeving. Dit soort applicaties hoort thuis bij een nonprofit organisatie waar iedereen van mee kan profiteren en niet een enkel bedrijf ala Google of Microsoft
18-08-2022, 09:26 door _R0N_
Door Anoniem: Wij houden het bij Firefox. Past beter in de live cycle managementomgeving. Dit soort applicaties hoort thuis bij een nonprofit organisatie waar iedereen van mee kan profiteren en niet een enkel bedrijf ala Google of Microsoft

Firefox komt er niet veel beter vanaf: https://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452
18-08-2022, 10:30 door Anoniem
Door Anoniem: Ik dacht dat dat google allemaal tools had om code te controleren????

Alle serieuze software leveranciers gebruiken al sinds jaar en dag tools om hun code te scannen/fuzzen - goed, maar geen garantie op 100% onkwetsbare code.

Security is een wapenwedloop. Tools, processen en slimme lui aan de verdedigende kant en andere tools en slimme-lui-die-minstens- zoveel-kunnen-verdienen aan de andere kant.
18-08-2022, 12:15 door Anoniem
Ook Firefox en feitelijk iedereen moet mee in het nieuwe technologische normaal, feitelijk een Openbaringen 13 verhaal.
Doe je niet mee, doe je straks helemaal niet meer mee.
18-08-2022, 12:32 door Anoniem
Door Anoniem: Neen, we bashen wel MS, Alphabet, Meta enz. maar nooit die hierachter zitten, degenen die zowel van neo-liberale als marxistische walletjes willen eten, de institutionele beleggersclub en wij horen bij de institutionele 'beggers'club. Zo spelen ze ons steeds uiteen tegen elkaar en harken alles binnen.

Ach, laate me raden. WEF zit er weer achter? Gesteeund door MSM? ROFFLMAO!
19-08-2022, 10:05 door Anoniem
Door Anoniem: Ik dacht dat dat google allemaal tools had om code te controleren????

Dat klopt.

Wat niet klopt is de gedachte dat "controleren met tools" een 100% bugvrij resultaat oplevert .
24-08-2022, 21:14 door Anoniem
Tja er zijn partijen die zo nodig vinden om hun wil op te dringen aan gebruikers . En dan komt het bij mensen die het niet eens zijn op om wat lekken te laten regenen waar zij anders geen voordeel bij zouden hebben.
Het marktaandeel van die prutsers moet omlaag en hoe sneller hoe liever.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.