Kritiek lek in Google Chrome laat aanvaller code op systemen uitvoeren
Een kritieke kwetsbaarheid in Google Chrome maakt het voor aanvallers mogelijk om code op systemen van gebruikers uit te voeren en die in het ergste geval over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel drive-by downloads genoemd.
Google is met een nieuwe versie van de browser gekomen om gebruikers te beschermen. Het beveiligingslek, aangeduid als CVE-2023-3214, bevindt zich in het onderdeel van Chrome dat wordt gebruikt voor automatisch invoeren van betaalgegevens op websites. Verdere details zijn niet door Google gegeven, behalve dat de kwetsbaarheid is gevonden en gerapporteerd door beveiligingsonderzoeker Rong Jian.
Vorig jaar werd er een recordaantal van zes kritieke kwetsbaarheden in Google Chrome gerapporteerd. Dit jaar staat de teller inmiddels op drie. Daarnaast zijn er verschillende andere beveiligingslekken in de nieuwe browserversie gerepareerd met een impact beoordeeld als "high". Het gaat in dit geval om beveiligingslekken waardoor een aanvaller in het ergste geval code binnen de context van de browser kan uitvoeren.
Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Iets wat wel met "critical" kwetsbaarheden mogelijk is.
In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Details kunnen vervolgens na zestig dagen openbaar worden gemaakt. Google Chrome 114.0.5735.133/134 is beschikbaar voor Windows. Voor macOS en Linux verscheen versie 114.0.5735.133. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan echter een aantal dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
Ik ben er ook eentje aan het maken, en dat is niet makkelijk.
En weer valt op dat voor Edge nog geen update is, trouwens.
Zal waarschijnlijk zelfde zijn voor alle andere chromium gebaseerde browsers...
is veranderd te gek voor woorden. Volgens hebben ze gegevens nodig als voedsel voor hun AL.
Een browser moet doen waar hij voor bedoeld is met zo min mogelijk onzin, als je ziet hoe die Edge in een kerstboom
is veranderd te gek voor woorden.
De rest van de wereld gebruikt de browser als een display server voor al hun applicaties, dus die hebben dat wel nodig.
Een browser moet doen waar hij voor bedoeld is met zo min mogelijk onzin, als je ziet hoe die Edge in een kerstboom
is veranderd te gek voor woorden.
De rest van de wereld gebruikt de browser als een display server voor al hun applicaties, dus die hebben dat wel nodig.
Aan het einde van de rit wil je al die gimmicks er niet in hebben, hoe meer code hoe meer lekken.
de browser gebruikt voor display server, of is dit weer zo’n reactie die kant nog wal raakt. En daarbij is het wel verstandig
om uperhoud de edge hier voor te gebruiken maar dat krijg allemaal te horen in jou reactie. Oh ja rest van wereld is
iedereen behalve ik dus ik kan je antwoord gemakkelijk controleren wij praten hier wel over de Edge, browser van MS.
Verder vind ik ook dat een browser anoniem moet zijn en niet zoals de Edge waar je een profiel hebt, pas geleden
nog een update en alles wat uitstond staat weer aan. Het niets meer dan spyware.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.