- Lid geworden
- 12 apr 2013
- Berichten
- 25.779
- Waarderingsscore
- 1.403
Google heeft voor de derde keer in drie weken tijd actief aangevallen zerodaylekken in de desktopversie van Chrome gepatcht.
In tegenstelling tot de zerodays die op 20 oktober en 2 november werden gepatcht zijn de nieuwste
twee kwetsbaarheden niet door Google zelf ontdekt.
De zerodaylekken, aangeduid als CVE-2020-16013 en CVE-2020-16017, bevinden zich in de V8 JavaScript-engine,
die wordt gebruikt voor het uitvoeren van JavaScript, en de site isolation-beveiligingsfeature van de browser.
Site Isolation zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites.
De twee kwetsbaarheden zijn door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor
een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld
data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen
vallen hieronder. De beveiligingslekken zijn op zichzelf niet voldoende om een systeem over te nemen.
Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.
De twee zerodaylekken die Google op 2 november patchte bevonden zich ook in de V8 JavaScript-engine,
net als een zerodaylek waarvoor Google eind februari een beveiligingsupdate uitbracht. Google heeft geen verdere details
over de nu verholpen kwetsbaarheden gegeven. Gisteren liet Vice Magazine op basis van een bron weten
dat er een relatie tussen de zerodays van de afgelopen weken zit, maar exacte details zijn onbekend.
De beveiligingslekken zijn verholpen in Chrome 86.0.4240.198. Op de meeste systemen wordt de update automatisch geïnstalleerd.
Bron Security.nl
In tegenstelling tot de zerodays die op 20 oktober en 2 november werden gepatcht zijn de nieuwste
twee kwetsbaarheden niet door Google zelf ontdekt.
De zerodaylekken, aangeduid als CVE-2020-16013 en CVE-2020-16017, bevinden zich in de V8 JavaScript-engine,
die wordt gebruikt voor het uitvoeren van JavaScript, en de site isolation-beveiligingsfeature van de browser.
Site Isolation zorgt ervoor dat Chrome de inhoud van elke geopende website in een apart proces rendert, geïsoleerd van andere websites.
De twee kwetsbaarheden zijn door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor
een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld
data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen
vallen hieronder. De beveiligingslekken zijn op zichzelf niet voldoende om een systeem over te nemen.
Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.
De twee zerodaylekken die Google op 2 november patchte bevonden zich ook in de V8 JavaScript-engine,
net als een zerodaylek waarvoor Google eind februari een beveiligingsupdate uitbracht. Google heeft geen verdere details
over de nu verholpen kwetsbaarheden gegeven. Gisteren liet Vice Magazine op basis van een bron weten
dat er een relatie tussen de zerodays van de afgelopen weken zit, maar exacte details zijn onbekend.
De beveiligingslekken zijn verholpen in Chrome 86.0.4240.198. Op de meeste systemen wordt de update automatisch geïnstalleerd.
Bron Security.nl