image

Google verhelpt voor zevende keer dit jaar actief aangevallen zeroday in Chrome

vrijdag 28 oktober 2022, 14:28 door Redactie, 14 reacties
Laatst bijgewerkt: 28-10-2022, 15:32

Google heeft voor de zevende keer dit jaar een actief aangevallen zerodaylek in Chrome verholpen. Eerder verschenen er updates voor dergelijke kwetsbaarheden in februari, maart, april, juli, augustus en september. Het nieuwste zerodaylek, aangeduid als CVE-2022-3723, bevindt zich in V8.

Dit is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin het afgelopen jaar al tal van andere zerodaylekken werden gevonden. De impact van de kwetsbaarheid is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. Het techbedrijf werd op 25 oktober door onderzoekers van antivirusbedrijf Avast over het probleem ingelicht.

Google Chrome 107.0.5304.87/88 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Reacties (14)
28-10-2022, 14:39 door BerryVHouten
Op Windows11 draai je versie 107.0.5304.88 :)
28-10-2022, 14:48 door Anoniem
Door BerryVHouten: Op Windows11 draai je versie 107.0.5304.88 :)

Na updaten op Win10 krijg je ook die versie
28-10-2022, 15:30 door johanw
En op Android 107.0.5304.91.
28-10-2022, 16:07 door _R0N_
Chrome het nieuwe IE
28-10-2022, 18:11 door Anoniem
Door johanw: En op Android 107.0.5304.91.
Zo is het ook met Brave (stable). Maar dan voor alle platforms.
28-10-2022, 18:12 door Anoniem
Gewoon stoppen met die troep van Google.
28-10-2022, 18:16 door Anoniem
Door _R0N_: Chrome het nieuwe IE
Tja, genoeg (chromium) alternatieven voorhanden. Maar met genoeg ezels die vinden dat Google Chrome 'goed genoeg werkt' zal Google de browsermarkt blijvend kunnen verzieken.
28-10-2022, 22:49 door Anoniem
Het is al Chrome en chromium-achtige browser wat de klok slaat.
29-10-2022, 04:05 door Anoniem
Wordt het niet eens tijd voor een database waarin alle developers met naam worden genoemd die gapende zerodays in hun werk hebben achtergelaten? Zodat we ons ook een beeld kunnen vormen welke slons de meeste zerodays heeft geproduceerd. We misschien tot een jaarlijkse bekeruitreiking kunnen komen bij een pageant van mister of miss zeroday 2022 of 2023. Met een rode loper waarbij allemaal CEO's dan met een strikje om overheen komen lopen?

Je hebt toch ook elk jaar de Loden Leeuw?

Waarom komen de daders van die zerodays nooit in beeld? Houdt dat recht op hùn privacy niet een keer op als je uitrekent wat die allemaal voor schade aanrichten?
29-10-2022, 10:12 door Anoniem
Blijkbaar zijn chrome en de javascript engine niet belangrijk genoeg voor google om om deze te voorzien van een veilige architectuur.
Schijnbaar is het wel prima zo en kijkt de onwetende gebruiker enkel naar de beste prestaties op onnodig zware sites.
Maakt niet uit. Ieder weldenkend persoon gebruikt ook gewoon firefox.
29-10-2022, 10:49 door Anoniem
Door Anoniem: Wordt het niet eens tijd voor een database waarin alle developers met naam worden genoemd die gapende zerodays in hun werk hebben achtergelaten? Zodat we ons ook een beeld kunnen vormen welke slons de meeste zerodays heeft geproduceerd. We misschien tot een jaarlijkse bekeruitreiking kunnen komen bij een pageant van mister of miss zeroday 2022 of 2023. Met een rode loper waarbij allemaal CEO's dan met een strikje om overheen komen lopen?

Je hebt toch ook elk jaar de Loden Leeuw?

Waarom komen de daders van die zerodays nooit in beeld? Houdt dat recht op hùn privacy niet een keer op als je uitrekent wat die allemaal voor schade aanrichten?
De beste stuurlui staan aan wal!!!
29-10-2022, 14:51 door Anoniem
Juist opgemerkt. Het zat dit keer in de V8 engine. Er is vaak ook geen tijd voor error-error-hunting.
Controleert u alle inline scripts op fouten, Verder update en upgrade u al uw gebruikte bibliotheken?
Leest u u steeds in op bijvoorbeeld stack overflow?

Ik doe al jaren website analyse en wat je tegenkomt ook qua beautified javascript code is vaak een regelrechte ramp.
En het hoeft niet de oorspronkelijke codeur te zijn, misschien degene die maintanance een tijdje heeft laten versloffen?

Alles staat en valt met handhaving/onderhoud. En daarmee gaan we al jarenlang steeds (verder) de bietenbrug op.

Die er verstand van hebben kijken er niet naar of mogen er niet naar kijken vanwege andermans BIG data interesse.
En die er geen verstand van hebben, het gros, is later slachtoffer van de graaiers en dus weer en steeds de klos.
29-10-2022, 20:34 door Anoniem
Door Anoniem:
Door Anoniem: Wordt het niet eens tijd voor een database waarin alle developers met naam worden genoemd die gapende zerodays in hun werk hebben achtergelaten? Zodat we ons ook een beeld kunnen vormen welke slons de meeste zerodays heeft geproduceerd. We misschien tot een jaarlijkse bekeruitreiking kunnen komen bij een pageant van mister of miss zeroday 2022 of 2023. Met een rode loper waarbij allemaal CEO's dan met een strikje om overheen komen lopen?

Je hebt toch ook elk jaar de Loden Leeuw?

Waarom komen de daders van die zerodays nooit in beeld? Houdt dat recht op hùn privacy niet een keer op als je uitrekent wat die allemaal voor schade aanrichten?
De beste stuurlui staan aan wal!!!

Dat was geen antwoord op de vraag ;-)
31-10-2022, 12:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wordt het niet eens tijd voor een database waarin alle developers met naam worden genoemd die gapende zerodays in hun werk hebben achtergelaten? Zodat we ons ook een beeld kunnen vormen welke slons de meeste zerodays heeft geproduceerd. We misschien tot een jaarlijkse bekeruitreiking kunnen komen bij een pageant van mister of miss zeroday 2022 of 2023. Met een rode loper waarbij allemaal CEO's dan met een strikje om overheen komen lopen?

Je hebt toch ook elk jaar de Loden Leeuw?

Waarom komen de daders van die zerodays nooit in beeld? Houdt dat recht op hùn privacy niet een keer op als je uitrekent wat die allemaal voor schade aanrichten?
De beste stuurlui staan aan wal!!!

Dat was geen antwoord op de vraag ;-)
Het was een open vraag.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.