Nieuws Kritieke kwetsbaarheid in Google Chrome maakt remote code execution mogelijk

Aarie25

Moderator
Forumleiding
Lid geworden
12 apr 2013
Berichten
21.537
Waarderingsscore
608
Punten
113
Leeftijd
39
Locatie
Gelderland
Mensen die Chrome gebruiken doen er verstandig aan zelf even handmatig updaten.

Google heeft een nieuwe versie van Chrome uitgebracht die meerdere kwetsbaarheden verhelpt,
waaronder een kritiek beveiligingslek waardoor een aanvaller op afstand willekeurige code kan uitvoeren
met de rechten van de ingelogde gebruiker. Google is van plan om Chrome 84 binnen dertig dagen
onder alle Chrome-gebruikers uit te rollen.

De kwetsbaarheid is aanwezig in "background fetch", een onderdeel van de browser dat in de
achtergrond grote bestanden zoals films, podcasts en levels van games kan downloaden.
Technische details over het beveiligingslek zijn nog niet gegeven, behalve dat het lek gebruikt
kan worden om een heap buffer overflow te veroorzaken. Vervolgens is het mogelijk om willekeurige code uit te voeren.
Het beveiligingslek werd gevonden door onderzoekers Leecraso en Guang Gong van 360 Alpha Lab,
die het probleem op 8 juli aan Google rapporteerden. In april wisten beide onderzoekers ook al een
kritieke kwetsbaarheid in Chrome te vinden. In tegenstelling tot andere browsers worden kritieke
kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden.

Vorig jaar ging het om een "recordaantal" van vijf "critical" kwetsbaarheden.
Het jaar daarvoor waren het er vier. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden
aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden.
Dit jaar staat de teller op drie.
Naast het kritieke beveiligingslek zijn er ook 37 andere kwetsbaarheden in de browser met een lagere impact opgelost.
Het ging onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller
code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld
data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox
te ontsnappen vallen hieronder.

Http-downloads
Chrome 84 introduceert ook verschillende nieuwe features. Zo zal de desktopversie van de browser
gebruikers voortaan waarschuwen wanneer ze op een https-website bestanden via http downloaden.
Uiteindelijk zal Chrome "onveilige downloads" helemaal blokkeren. Met de lancering van
Chrome 84 zullen de eerste waarschuwingen verschijnen, gevolgd door een volledige blokkade in Chrome 88.
Google Chrome beschikt over een automatische updatefunctie. In het geval van
een kritische kwetsbaarheid probeert Google alle Chrome-gebruikers binnen dertig
dagen naar de laatste versie te updaten. Gebruikers kunnen ook door "chrome://settings/help"
in de adresbalk in te voeren Chrome 84.0.4147.89 downloaden.

Bron Security.nl
 
Bovenaan Onderaan