Google verhelpt zeldzame kritieke zeroday in Chrome gebruikt bij aanvallen
Google heeft een zeldzame kritieke zeroday in Chrome verholpen die is gebruikt bij aanvallen en aanvallers de mogelijkheid biedt om code op het onderliggende systeem uit te voeren. Daarvoor is alleen het bezoeken van een malafide of gecompromitteerde website of het te te zien krijgen van een besmette advertentie voldoende. Verdere actie van gebruikers is niet vereist. Dit wordt ook wel een drive-by download-aanval genoemd.
Chrome krijgt regelmatig met zerodaylekken te maken, maar die impact van deze kwetsbaarheden is dan als "high" beoordeeld. Dergelijke beveiligingslekken laten een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.
Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google heeft nu een update uitgebracht voor een actief aangevallen kritieke kwetsbaarheid (CVE-2023-4863), waardoor het mogelijk is voor een aanvaller om code op het onderliggende systeem uit te voeren en dat in het ergste geval volledig over te nemen. Een tweede kwetsbaarheid is dan niet meer vereist.
Het zerodaylek werd gevonden door onderzoekers van Apple en Citizen Lab, die het probleem op 6 september aan Google rapporteerden. Onlangs vonden beide partijen ook twee zerodaylekken die werden gebruikt voor het stilletjes infecteren van iPhones met de Pegasus-spyware. Details over de aanvallen zijn niet door Google gegeven.
In het geval van kritieke kwetsbaarheden probeert Google de beschikbare update binnen dertig dagen onder alle Chrome-gebruikers uit te rollen. Het gaat om Google Chrome 116.0.5845.187/.188 voor Windows en versie 116.0.5845.187 voor macOS en Linux. Gebruikers die de update direct willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
https://nvd.nist.gov/vuln/detail/CVE-2023-33658
https://cwe.mitre.org/data/definitions/122.html
Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.
Mijn Windows PC probeert namelijk steeds via Microsoft Edge mijn TV te bereiken.
Ik begreep het in eerste instantie niet totdat ik tot de ontdekking kwam dat de ChromeCast poorten van mijn TV ook via Microsoft Edge worden aangesproken.
En dan is het al helemaal een slechte zaak dat MS Edge niet gepatched is.
Gegarandeerd gaat ook Rust z'n bugs hebben. Ook Java beloofde veel, leverde een deel en was niet 100% immuun.
Het specifieke 'waarom' weet ik niet -
maar
1)porten naar een andere taal van een GROOT project is waanzinnig veel werk.
2) Is er uberhaupt een Rust compiler voor alle targets waar Chrome op draait ?
(1.5 GB source, ca 37 miljoen regels code ).
https://openhub.net/p/chrome/analyses/latest/languages_summary
Als een clubje Rust fanboys zich wel uitleven, het _is_ open source .
Met CSS monitoring wordt dit converteren kritisch.
De beveiliger moet de hele range kwetsbaarheden in de gaten houden, de l33t evil hacker heeft aan een klein werkend gaatje voldoende. Dus ongelijk verdeeld op deze planeet.
https://nvd.nist.gov/vuln/detail/CVE-2023-33658
https://cwe.mitre.org/data/definitions/122.html
Omdat Chrome ouder is dan rust? Je herschrijft geen miljoen lijnen code zonder business case.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.