Google verhelpt 37 beveiligingslekken in Chrome

[Captain Kirk]

Er is een nieuwe versie van Google Chrome verschenen waarin 37 beveiligingslekken zijn verholpen. Ook is dit de eerste versie die Google zal gebruiken voor een publieke DNS over HTTPS (DoH)-test. De ernst van de verholpen kwetsbaarheden is als "high" bestempeld.

Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Onderzoeker Man Yue Mo van softwarebedrijf Semmle wist de meest waardevolle beveiligingslekken te rapporteren. Hij ontving voor zijn twee bugmeldingen in totaal 35.000 dollar.

Voor het melden van een kwetsbaarheid in het onderdeel dat Chrome gebruikt voor het afspelen van media ontving de onderzoeker een beloning van 20.000 dollar. Eén van de hoogste bedragen die Google dit jaar uitkeerde. Een beveiligingslek in de Blink-engine die Chrome gebruikt voor het weergeven van webcontent werd met 15.000 dollar beloond.

DNS over HTTPS

Daarnaast is Chrome 78 zoals gezegd de eerste versie waarin Google een publieke DoH-test zal uitvoeren. Wanneer de test precies begint is nog onbekend. Bij het opvragen van de locatie van een domeinnaam wordt een verzoek naar een dns-server gestuurd. In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider.

Een probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken.

Met Chrome 78 gaat Google kijken of de ingestelde dns-provider van de gebruiker DoH ondersteunt. Op dit moment zijn dit volgens Google zes partijen, namelijk Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS en Quad9. Wanneer Chrome deze providers detecteert wordt de DoH-dienst van dezelfde provider ingeschakeld. Wanneer de dns-provider van de gebruiker niet op de lijst voorkomt blijft Chrome op dezelfde manier werken. Hierdoor zouden gebruikers niets van het experiment moeten merken, aldus Google.

Gebruikers die niet aan het experiment willen meedoen kunnen zich hiervoor afmelden door via de adresbalk de optie chrome://flags/#dns-over-https uit te schakelen. Updaten naar Chrome 78.0.3904.70 zal op de meeste systemen automatisch gebeuren.

 

 

bron: security.nl