Kritiek lek in Google Chrome laat aanvaller systeem overnemen
Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden in de browser verhelpt, waaronder een kritiek beveiligingslek dat het mogelijk voor een aanvaller maakt om in het ergste geval het onderliggende systeem over te nemen. Alleen het bezoeken van een gecompromitteerde of malafide websites of bekijken van een besmette advertentie is voldoende, er is geen verdere interactie van gebruikers vereist.
De kwetsbaarheid, aangeduid als CVE-2022-3038, bevindt zich in de Network Service van Chrome. Een onderdeel dat de netwerkfunctionaliteit van de browser regelt. Beveiligingsonderzoeker Sergei Glazunov van Google Project Zero ontdekte een "use after free" in de code waardoor een aanvaller code op het systeem van gebruikers kan uitvoeren.
In tegenstelling tot voorgaande jaren is er dit jaar al een recordaantal kritieke kwetsbaarheden in de browser gevonden. De teller staat nu op zes. In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt.
Verder verhelpt 105.0.5195.52 23 andere kwetsbaarheden, die een lagere impact hebben. Updaten naar de nieuwste Chrome-versie zal op de meeste systemen automatisch gebeuren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren.
[$NA][1340253] Critical CVE-2022-3038: Use after free in Network Service. Reported by Sergei Glazunov of Google Project Zero on 2022-06-28
Perfecte driveby download infectie. Ik zie weer nieuwe ransomware incidenten aankomen.
Is dat beter?
Edge draait op dezelfde onderliggende engine en komt vaak met updates nadat het nieuws al geweest is.
Blijft toch altijd een lastig verhaal, helaas. Proactief opzoek gaan naar kwetsbaarheden zorgt altijd voor meer ontdekkingen. Dan blijven er nog 2 opties over. of onderzoekers van google zijn heel goed (uit project zero), of de browser is slecht gebouwd.
Een browser kiezen o.b.v. hoe vaak een kwetsbaarheid wordt gevonden lijkt mij ook geen goed idee. Geen onderzoek doen, testen en beheren zorgt namelijk altijd voor minder ontdekte kwetsbaarheden
Welke browser is volgens jou wel 100% veilig dan?
Jij voegt met dit bericht ook niets toe overigens.
Reageer eens op het verkeerde van een wereldwijde Google mono-cultuur, ja ook op vrijwel alle browsers inmiddels.
Dit zeker in/voor Nederland met haar hoge Chrome en chromium-achtige browser proliferatie.
Iridium en epic browser zijn misschien pogingen om hiervan weg te sturen. Ungoogled Chrome ook een goede alt.browser overigens.
Als je kritiek op heiligverklaard Google als getrol ervaart, succes daarmee dan, lezen we overheen.
Wij zien het tenminste anders. Maar wij zijn geen conformisten om de brode of beroepshalve immers.
#obserwator
De verschraling van de browser engines en de updatehonger van de makers - is een slechte zaak. Minder updates - meer terughoudendheid - en veel beter testbeleid - dat moet wettelijk nu maar 's afgedwongen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.