De laatste update van Google's Chrome-browser is uit, stoten het vierdelige versienummer naar 104.0.5112.101 (Mac en Linux), of om 104.0.5112.102 (Ramen).
Volgens Google bevat de nieuwe versie 11 beveiligingsoplossingen, waarvan er één is geannoteerd met de opmerking dat: "er bestaat een exploit [voor deze kwetsbaarheid] in het wild", waardoor het een zero-day hole wordt.
De naam zero-day herinnert ons eraan dat er zero-days waren waarop zelfs de meest goed geïnformeerde en proactieve gebruiker of systeembeheerder een patch had kunnen krijgen voor de Bad Guys.
Details bijwerken
Details over de updates zijn schaars, aangezien Google, net als veel andere leveranciers tegenwoordig, de toegang tot bugdetails beperkt "totdat een meerderheid van de gebruikers is bijgewerkt met een oplossing".
Maar die van Google bulletin uitbrengen somt expliciet 10 van de 11 bugs op, als volgt:
- CVE-2022-2852: Gebruik daarna gratis in FedCM.
- CVE-2022-2854: Gebruik daarna gratis in SwiftShader.
- CVE-2022-2855: Gebruik daarna gratis in ANGLE.
- CVE-2022-2857: Gebruik daarna gratis in Blink.
- CVE-2022-2858: Gebruik daarna gratis in de aanmeldingsstroom.
- CVE-2022-2853: Heapbufferoverloop in Downloads.
- CVE-2022-2856: Onvoldoende validatie van niet-vertrouwde invoer in Intents. (Nul-dag.)
- CVE-2022-2859: Gebruik daarna gratis in Chrome OS Shell.
- CVE-2022-2860: Onvoldoende beleidshandhaving in cookies.
- CVE-2022-2861: Ongepaste implementatie in Extensions API.
Zoals je kunt zien, werden zeven van deze fouten veroorzaakt door wanbeheer van het geheugen.
A gebruik-na-gratis kwetsbaarheid betekent dat een deel van Chrome een geheugenblok heeft teruggegeven dat het niet meer van plan was te gebruiken, zodat het opnieuw kon worden toegewezen voor gebruik elders in de software...
... alleen om dat geheugen toch te blijven gebruiken, waardoor een deel van Chrome mogelijk vertrouwt op gegevens waarvan het dacht dat het kon vertrouwen, zonder te beseffen dat een ander deel van de software mogelijk nog steeds met die gegevens knoeit.
Vaak zullen dit soort bugs ervoor zorgen dat de software volledig crasht, door berekeningen of geheugentoegang op een onherstelbare manier te verknoeien.
Soms kunnen use-after-free-bugs echter opzettelijk worden geactiveerd om de software op het verkeerde been te zetten, zodat deze zich misdraagt (bijvoorbeeld door een beveiligingscontrole over te slaan of het verkeerde blok invoergegevens te vertrouwen) en ongeoorloofd gedrag uitlokt.
A heap buffer overloop betekent vragen om een blok geheugen, maar meer gegevens wegschrijven dan er veilig in passen.
Hierdoor overloopt de officieel toegewezen buffer en worden gegevens in het volgende geheugenblok overschreven, ook al is dat geheugen mogelijk al in gebruik door een ander deel van het programma.
Bufferoverflows produceren daarom meestal soortgelijke bijwerkingen als use-after-free bugs: meestal zal het kwetsbare programma crashen; soms kan het programma echter zonder waarschuwing worden misleid om niet-vertrouwde code uit te voeren.
Het nul-dag gat
De zero-day-bug CVE-2022-2856 wordt gepresenteerd met niet meer details dan je hierboven ziet: "Onvoldoende validatie van niet-vertrouwde invoer in Intents."
Een chroom Doel is een mechanisme om apps rechtstreeks vanaf een webpagina te activeren, waarbij gegevens op de webpagina worden ingevoerd in een externe app die wordt gestart om die gegevens te verwerken.
Google heeft geen details verstrekt over welke apps, of wat voor soort gegevens, kwaadwillig kunnen worden gemanipuleerd door deze bug...
... maar het gevaar lijkt nogal duidelijk als de bekende exploit inhoudt dat een lokale app stilletjes wordt gevoed met het soort risicovolle gegevens die normaal om veiligheidsredenen zouden worden geblokkeerd.
Wat te doen?
Chrome zal zichzelf waarschijnlijk updaten, maar we raden altijd aan om het toch te controleren.
Gebruik op Windows en Mac Meer > Help > Over Google Chrome > Update Google Chrome.
Er is een apart releasebulletin voor: Chrome voor iOS, die naar versie gaat 104.0.5112.99, maar nog geen bulletin [2022-08-17T12:00Z] waarin Chrome voor Android wordt genoemd.
Controleer op iOS of uw App Store-apps up-to-date zijn. (Gebruik hiervoor de App Store-app zelf.)
U kunt elke aanstaande update-aankondiging over Android bekijken op Google's Chrome-releases blog
De open-source Chromium-variant van de eigen Chrome-browser is momenteel ook in versie 104.0.5112.101.
Microsoft Edge veiligheidsopmerkingen, echter, zeggen momenteel [2022-08-17T12:00Z]:
16 Augustus 2022
Microsoft is op de hoogte van de recente exploit die in het wild bestaat. We werken actief aan het vrijgeven van een beveiligingspatch, zoals gerapporteerd door het Chromium-team.
Je kunt opletten voor een Edge-update op Microsoft's official Edge-beveiligingsupdates pagina.
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kopen Google Reviews
- Google Chrome
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
![S3 Ep96: Zoom 0-dag, AEPIC-lek, Conti-beloning, gezondheidsbeveiliging [Audio + Tekst] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep96: Zoom 0-dag, AEPIC-lek, Conti-beloning, gezondheidsbeveiliging [Audio + Tekst]")
![S3 aflevering 115: Ware misdaadverhalen – Een dag uit het leven van een strijder tegen cybercriminaliteit [Audio + Tekst] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Ware misdaadverhalen – Een dag uit het leven van een bestrijder van cybercriminaliteit [Audio + tekst]")
