Ga naar inhoud

Kritiek lek in Google Chrome maakt remote code execution mogelijk


Captain Kirk
 Delen

Aanbevolen berichten

Een kritiek beveiligingslek in Google Chrome maakt remote code execution mogelijk, waardoor een aanvaller in het ergste geval volledige controle over het onderliggende systeem kan krijgen. Google heeft gisterenavond een nieuwe versie van de browser uitgebracht waarin het probleem is verholpen.

De kwetsbaarheid is aanwezig in het onderdeel van Chrome dat wordt gebruikt voor het uitvoeren van betalingen. Technische details over het beveiligingslek zijn nog niet gegeven, behalve dat het lek gebruikt kan worden om een use after free te veroorzaken. Vervolgens is het mogelijk om willekeurige code met rechten van de gebruiker uit te voeren. De kwetsbaarheid, aangeduid als CVE-2020-15967, werd op 11 september door beveiligingsonderzoeker Man Yue Mo van GitHub aan Google gerapporteerd. Welke beloning de onderzoeker voor zijn bugmelding krijgt is nog niet bekend.

Naast de bovengenoemde kritieke kwetsbaarheid zijn in de nieuwe Chrome-versie 34 andere beveiligingslekken met een lagere impact verholpen. Het gaat onder andere om beveiligingslekken met het stempel "high", waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder.

Nieuwe features

Chrome 86.0.4240.75 introduceert ook verschillende nieuwe features. Zo waarschuwt de browser voor onveilig verstuurde webformulieren. Het gaat dan om webformulieren op https-sites die via een onbeveiligde verbinding worden verstuurd. Dit is volgens Google een risico voor de security en privacy van gebruikers, aangezien een aanvaller op deze manier verstuurde formulieren kan onderscheppen, lezen en aanpassen.

De nieuwe browser blokkeert ook standaard uitvoerbare bestanden, archiefbestanden en disk-images die op https-sites via http worden aangeboden. Tevens waarschuwt Chrome voor andere "mixed content" downloads die via http plaatsvinden, met als uitzondering downloads van audio-, video- en tekstbestanden.

Tevens gaat Google in Chrome 86 experimenteren met de weergave van url's in de adresbalk. Een testgroep zal niet meer de volledige url te zien krijgen. In plaats daarvan wordt alleen het domein weergegeven. Gebruikers hebben nog wel de optie om de volledige url te bekijken.

Ook start Google in deze versie van de browser met het uitschakelen van FTP. Bij één procent van de gebruikers wordt de FTP-ondersteuning uitgeschakeld. Gebruikers kunnen FTP nog wel zelf inschakelen. Met de lancering van Chrome 87 zal FTP standaard bij de helft van alle gebruikers worden uitgeschakeld. Uiteindelijk zal FTP-support in Chrome 88 volledig verdwijnen.

De nieuwe Chrome-versie wordt bij de meeste gebruikers automatisch geïnstalleerd. Aangezien er ook een kritieke kwetsbaarheid is verholpen probeert Google alle gebruikers binnen dertig dagen naar de nieuwe versie te krijgen.

 

bron: security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...