• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Info Google dicht ernstige beveiligingslekken in Chrome

Status
Niet open voor verdere reacties.

Aarie25

NCF Goeroe
Forumleiding
Moderator
Lid geworden
12 apr 2013
Berichten
25.736
Waarderingsscore
1.390
Voor mensen die Google chrome gebruiken is het handig om te kijken of je de laatste versie hebt.
Ik heb het zelf handmatig gedaan omdat ik vorige keer bij meerdere computers heb gemerkt dat die niet allemaal automatisch bijgewerkt werden.

Google heeft een nieuwe desktopversie van Chrome uitgebracht waarin twee ernstige beveiligingslekken zijn verholpen. Daarnaast zal de browser bepaalde certificaten van Symantec niet meer vertrouwen en worden gebruikers gewaarschuwd als software code in de browser probeert te injecteren.

In tegenstelling tot Edge, Internet Explorer, Safari en Firefox worden ernstige kwetsbaarheden in Chrome zelden gevonden. Via een ernstig beveiligingslek kan een aanvaller code op het onderliggende systeem uitvoeren en dat in theorie volledig overnemen. Alleen het bezoeken van een kwaadaardige of gehackte website is dan voldoende. Er is geen verdere interactie van de gebruiker vereist. In 2014 ging het in totaal om drie ernstige kwetsbaarheden in Chrome en in 2015 werden er twee geteld. Een jaar later in 2016 werden er geen ernstige lekken gevonden en vorig jaar ging het er om drie.

Dit keer gaat het om twee ernstige kwetsbaarheden die door onderzoeker Ned Williamson werden gevonden. Williamson ontdekte ook twee van de drie ernstige kwetsbaarheden die vorig jaar in Chrome werden gepatcht. De nu gevonden beveiligingslekken bevinden zich in het Disk Cache-onderdeel van Chrome, maar verdere informatie wordt op dit moment nog niet gegeven. Dat zal pas later gebeuren als alle gebruikers de update naar Chrome 66 hebben ontvangen. In totaal zijn er in de nieuwste Chrome-versie 62 kwetsbaarheden gepatcht. Google betaalde onderzoekers meer dan 33.000 dollar voor het melden hiervan, maar de uiteindelijke kosten zullen hoger uitvallen aangezien de beloning voor Williamson nog niet bekend is gemaakt.

Symantec-certificaten
Daarnaast waarschuwt Chrome nu ook voor websites die bepaalde Symantec-certificaten gebruiken voor het aanbieden van een versleutelde verbinding. Begin vorig jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Daarop besloot Google om het vertrouwen in certificaten van Symantec op te zeggen. Dit gebeurt in fasen, waarbij nu Symantec-certificaten die voor 1 juni 2016 zijn uitgegeven niet meer worden vertrouwd. Chrome-gebruikers krijgen dan bij deze websites een certificaatwaarschuwing te zien en kunnen de website niet zonder extra handelingen uit te voeren bezoeken.

Code-injecties
Een andere belangrijke maatregel die in Chrome 66 is doorgevoerd betreft het waarschuwen voor geïnjecteerde code. Volgens Google heeft tweederde van de Chrome-gebruikers op Windows software geïnstalleerd die interacties met Chrome heeft, zoals anti-virussoftware. Gebruikers met software die code in Chrome injecteert hebben 15 procent meer kans om met crashes te maken krijgen. Vanaf juli 2018 met de lancering van Chrome 68 zal Google daarom het injecteren van code door third-party software in de Windows-versie van Chrome gaan blokkeren.

Deze aanpassing zal in drie fases plaatsvinden, waarbij wordt begonnen met Chrome 66. Gebruikers zullen nu na een crash een waarschuwing te zien krijgen dat andere software code in Chrome injecteert. Vervolgens krijgen gebruikers advies om deze software te updaten of van het systeem verwijderen. Updaten naar Chrome 66.0.3359.117 zal op de meeste systemen automatisch gebeuren.
 
Dank voor de info.

Ik moest de update echter handmatig installeren dat deed ik door rechts bovenaan op de 3 puntjes te klikken. Vervolgens ging ik naar help en klikte op Over Google Chrome. toen ik daar was begon de update automatisch te lopen.
 
Gedaan. Ik heb nu deze versie:

Versie 66.0.3359.139 (Officiële build) (64-bits)
 
Dus dan moest je dit ook handmatig doen?
 
Ja.
 
Ik blijf mij verbazen dat de laatste maanden de updates niet meer vanzelf binnen komen.
Zeker als er 3 kritieke updates zijn.
Voor mij is dat geen probleem omdat ik regelmatig hier kijk voor nieuwe updates.
https://chromereleases.googleblog.com/
Maar dat doen veel mensen niet.
 
Ja, ik vind het ook erg bijzonder. Tot voor kort ging dit toch echt automatisch.
 
Bij mij gaat het nog steeds automatisch.
Mijn standaard browser is Firefox, maar wanneer aarie25 meldt dat er een nieuwe versie van Chrome is, dan start ik Chrome even op. Ik klik dan op Instellingen > Help > Over Google Chrome en dan blijkt steeds dat ik de nieuwste versie al heb. Hij wordt dus blijkbaar op de achtergrond al gedownload en geïnstalleerd, ook wanneer ik Chrome niet gebruik.

Ik weet niet waarom dit bij mij wel gebeurt en bijvoorbeeld bij Rubensky niet.
Wie of wat regelt dat updaten van Google Chrome?
In Taakbeheer > tabblad Opstarten staat niets van Google updater. Ja, Google Drive zie ik daar wel, maar die heb ik daar op Uitgeschakeld staan.
Daarna gekeken via de app Services. Er blijken twee update services voor Google producten in te staan, gupdate en geupdatem:

5ae71050e4943-Google_Update-service.JPG


gupdate staat bij mij onder Opstarttype ingesteld als Automatisch; gupdatem als Handmatig.
Zou gupdate verantwoordelijk zijn voor het op de achtergrond bijwerken van Google Chrome, ook wanneer ik die browser al een tijdje niet gebruikt heb?
Staat bij Rubensky het opstarttype van gupdate ook ingesteld op Automatisch?
 
Het valt mij op dat dit probleem sinds enkele maanden is.
Ook hebben meerdere computers die ik regelmatig bijwerk daar last van.
Nu kijk ik zelf regelmatig op hun site of er updates zijn, dus is het voor mij niet zo`n groot probleem.
Maar niet iedereen doet dit en loopt vooral met zulke grote lekken een risico.
 
Er blijken twee update services voor Google producten in te staan, gupdate en geupdatem: gupdate staat bij mij onder Opstarttype ingesteld als Automatisch; gupdatem als Handmatig.

Ik heb even gekeken en hier staat alles het zelfde.
Alleen stond gupdate op automatisch en dan vertraagd opstarten.
Dit heb ik aangepast naar automatisch eens kijken of het dan wel werkt.
 
Deze informatie is voor mij nieuw moet ik zeggen. heb nog niet gekeken op de pc waarachter ik nu zit hoe het daar is geregeld. Gisteren viel het mij wel op dat het op de ene pc (Windows 10) niet automatisch ging. Maar op de andere pc (Windows 7) wel.
 
Net even gekeken op de laptop waar ik nu achter zit stond deze zelfs als uitgeschakeld. Die heb ik nu op automatisch gezet kijken wat het uitwerkt.

(Alhoewel op deze laptop de browser al automatisch was bijgewerkt.)
 
Alleen stond gupdate op automatisch en dan vertraagd opstarten.
Zo stond/staat hij bij mij ook, aarie25.
In de afbeelding die ik toonde in post #10 was de kolom Opstarttype wat aan de smalle kant. Daardoor zag ik gisteren niet dat dit de volledige aanduiding is op mijn computer: Automatisch (vertraagd starten).

Wanneer ik (links bovenaan) klik op 'Deze service starten', dan start de service en een seconde later krijg ik deze melding:

5ae83db5aa86e-gupdate.png


Als ik dat lees, dan zou ik toch gaan denken dat gupdate niet uit zichzelf start, maar pas wanneer een programma van Google, zoals Google Chrome, wordt opgestart.
Ach, ik raad er ook maar naar. Wat weet ik nou van computers? Hoe langer ik ermee omga, hoe minder ik snap van die dingen.
 
Ik gebruik Chrome elke dag en nog werkt hij het niet zelf bij.
Maar ik zal het de komende tijd eens in de gaten houden. Anders zet ik het de volgende keer even uit en dan schakel ik het weer in.
Kijken wat er dan gebeurt.
 
Ach, ik raad er ook maar naar. Wat weet ik nou van computers?

Genoeg om hier heel veel mensen van waardevolle informatie en tips te voorzien.
 
Er is weer een ernstig lek gedicht en brengt het totaal op 4 dit jaar.
Ook weer komt bij mij de update niet vanzelf binnen en moet ik het handmatig doen.

Google dicht ernstig Chrome-lek binnen drie weken

Google heeft dit jaar weer een ernstig beveiligingslek in Chrome gepatcht waardoor een aanvaller het onderliggende systeem in het ergste geval had kunnen overnemen. Het gaat om een "keten" van kwetsbaarheden waardoor een aanvaller uit de sandbox van Chrome had kunnen ontsnappen en code op het systeem had kunnen uitvoeren met de rechten van de gebruiker.
Een anonieme onderzoeker rapporteerde het beveiligingsprobleem op 23 april aan Google. Vanwege de impact van ernstige kwetsbaarheden streeft de internetgigant ernaar om dergelijke lekken binnen 30 dagen te patchen. Ernstige beveiligingslekken worden in vergelijking met andere browsers zelden door externe onderzoekers in Chrome gevonden.
Dit jaar heeft Google echter al vier van dergelijke kwetsbaarheden verholpen, een recordaantal. In 2014, 2015, 2016 en 2017 werden er respectievelijk drie, twee, geen en drie ernstige kwetsbaarheden door externe onderzoekers in Chrome ontdekt en aan Google gerapporteerd. Wat voor beloning de anonieme onderzoeker krijgt voor het melden van de kwetsbaarheid is nog niet bekendgemaakt. Updaten naar Chrome 66.0.3359.170 zal op de meeste systemen automatisch gebeuren.

Bron Security.nl
 
En ook dit keer mocht ik weer handmatig updaten. Deze keer naar versie Versie 66.0.3359.170.
 
Toch vreemd dat het weer handmatig moet.
Niet dat het veel werk is, maar toch.
 
Ik doe het altijd trouw als jij het meld. :)
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan