Google Chrome 90 maakt https standaard protocol voor adresbalk

[Captain Kirk]

Google heeft Chrome 90 gelanceerd waarmee https voortaan het standaard protocol in de adresbalk is. Daarnaast zijn er 37 kwetsbaarheden in de browser verholpen. Wanneer gebruikers een url in de adresbalk invoerden, zonder http of https op te geven, maakte Chrome eerst altijd via http verbinding. Volgens Google was dit in het verleden praktisch, aangezien veel websites toen nog geen https ondersteunden.

Inmiddels maakt het grootste deel van de websites wel gebruik van https. Daarom besloot Google om met de lancering van Chrome 90 https standaard in de adresbalk te gebruiken, tenzij de gebruiker bewust http opgeeft. "Naast de overduidelijke security- en privacyverbeteringen, verbetert deze aanpassing ook de laadsnelheid van sites die https ondersteunen, aangezien Chrome direct met het https-endpoint verbinding maakt, zonder de noodzaak om van http naar https te worden doorgestuurd", liet Google eerder over de aanpassing weten.

Tevens zijn er 37 kwetsbaarheden met de nieuwste Chrome-versie verholpen, waarvan de impact als "high" is beoordeeld. Via dergelijke kwetsbaarheden kan een aanvaller code binnen de context van de browser uitvoeren als er een gecompromitteerde of kwaadaardige website wordt bezocht. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het is niet mogelijk om systemen door middel van alleen een high-kwetsbaarheid te compromitteren. Hiervoor is een tweede beveiligingslek vereist.

Een kwetsbaarheid in de permissies van Chrome, waardoor een aanvaller code binnen de browser kan uitvoeren, leverde onderzoekers Gengming Liu en Jianyu Chen van Tencent Keen Security Lab een beloning van 20.000 dollar op. De overige beveiligingslekken die onderzoekers bij Google rapporteerden en nu zijn verholpen waren goed voor beloningen van tussen de 500 en 10.000 dollar. Chrome 90.0.4430.72 is beschikbaar voor Linux, macOS en Windows. De update naar de nieuwste versie zal op de meeste systemen automatisch worden geïnstalleerd.

 

bron: https://www.security.nl