Google waarschuwt opnieuw voor actief aangevallen zeroday in Chrome
Google waarschuwt opnieuw voor een actief aangevallen zerodaylek in Chrome en heeft updates uitgebracht om het probleem te. verhelpen. Het beveiligingslek bevindt zich in libvpx, een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-bestand kan een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser kan uitvoeren.
De impact van de kwetsbaarheid, aangeduid als CVE-2023-5217, is als "high" beoordeeld. Het gaat in dit geval om beveiligingslekken waardoor een aanvaller bijvoorbeeld data van andere websites kan lezen of aanpassen en zo gevoelige informatie van gebruikers kan stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.
Beveiligingslekken met het stempel "high" zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem. Google geeft geen details over de doelwitten van de waargenomen aanvallen en hoe ze precies plaatsvinden. De zeroday werd door een onderzoeker van Googles Threat Analysis Group op 25 september gevonden. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.
Google Chrome 117.0.5938.132 is beschikbaar voor macOS, Linux en Windows. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. Google kwam twee weken geleden ook al met updates voor een actief aangevallen zeroday.
Update
Google laat via X weten dat de kwetsbaarheid door een spywareleverancier is gebruikt.
Maar commercieel is het net zoiets als getrouwd zijn. Zou ze nooit ergens over zeuren dan vergeet je hoe getrouwd je ermee bent.
CSS komt naar een plek bij u in de buurt vanaf nu, ook voor je videootjes.
Za bug is da feature.
En daar gaat het eens 5e rijkste land op aarde naar de gallemieze mee.
Hier zitten de meeste Google bekeerden overigens.
Je krijgt de pagina al voorvertaald van Portugees tot Pools, en Nederlands tot Bulgaars.
Uw fact-checker of AI hoeft ook geen taalcursusje meer te doen.
Ta sprawa jest prosta (makkelijkj zat dus),
luntrus
Jawel die is dus ook kwetsbaar en die update zal vandaag/komende dagen wel volgen.
Jawel die is dus ook kwetsbaar en die update zal vandaag/komende dagen wel volgen.
Dan heb je nog die grote dienstverleners die maar 1x per maand patchen. Dan ben je zo 2 manden verder.
Duurt een paar dagen voordat het doorkomt.
In linux heb je repositorues van microsoft
VP8 is een codec/container dat precies dat is -
Het gebruikt de 'Matroshka' container (stream formaat )
https://en.wikipedia.org/wiki/Matroska
(open container formaat)
En de codec is zoveel mogelijk patent-free , met steun van google in het gevecht met MPEG (organisatie).
https://en.wikipedia.org/wiki/VP8
De referentie library voor decoding (oorspronkelijk van On2, overgenomen door Google) is open source onder een BSD licentie .
[https://en.wikipedia.org/wiki/Alliance_for_Open_Media
Jammer dat die betweters hier die 'google' lezen en meteen hun 'slimme' analyse "is TLA backdoor" niet eens hun energie stopten in code audits van open source libraries.
voor 28 sep 11:41 : Firefox heeft OOK een emergency update omdat ze dezelfde library gebruiken .
https://www.security.nl/posting/812194/Mozilla+komt+met+noodpatch+voor+libvpx-zeroday+in+Firefox+en+Thunderbird
2. Omdat de aangifte inkomstenbelasting bij mij niet werkt in Firefox ben ik na een lange zoektocht (welke cookies moeten worden geaccepteerd, welke extensies blokkeren welke cookies, welke extensie moet eventueel tijdelijk worden uitgeschakeld) ook uitgekomen bij Chrome. Waarom via Chrome wel de aangifte inkomstenbelasting lukt? Ik heb geen idee. Maar je voelt je een echte digibeet als een simpele aangifte inkomstenbelasting niet lukt en je de helpdesk moet bellen.
2. Omdat de aangifte inkomstenbelasting bij mij niet werkt in Firefox ben ik na een lange zoektocht (welke cookies moeten worden geaccepteerd, welke extensies blokkeren welke cookies, welke extensie moet eventueel tijdelijk worden uitgeschakeld) ook uitgekomen bij Chrome. Waarom via Chrome wel de aangifte inkomstenbelasting lukt? Ik heb geen idee. Maar je voelt je een echte digibeet als een simpele aangifte inkomstenbelasting niet lukt en je de helpdesk moet bellen.
Misschien moet je dan ook niet zo zitten kutten met extensies, blockers, filters, denies - en dan maar verbaasd zijn dat 'het niet werkt' .
Jij wilt de tweakende pro expert zijn - dan los je de problemen ervan ook maar op.
Chrome zal gewerkt hebben omdat je daar een hoop van die tweaks en extensies niet geinstalleerd had.
De poster voor je roept maar wat.
Probeer het eens met firefox zonder al die filter meuk . Of stop er nog meer tijd in.
En ja linux is niet alleen zaligmakend en open software kent ook holes.
Het blijft nog eventjes mensenwerk, toch?
En Brendan Eich heeft ook niet alles voor javascript voorzien, hij is orthodox en geen AI.
Onderzoekt alle dingen en behoudt het goede.
CSS Exfill Protection en LocalCDN zijn niet verkeerd hoor.
@webproxy
Uit https://en.wikipedia.org/wiki/Falkon
Inderdaad zijn wel een aantal Google APIs eruit gehaald lees
https://wiki.qt.io/QtWebEngine
maar het is dus ook de Chromium engine .
Ik heb niet meteen kunnen terugvinden of Falcon uberhaupt WebM /VP8 ondersteunt, maar zo ja valt te verwachten dat dat ook met door libvpx gedaan wordt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.