Google's eerste stabiele kanaalversie van Chrome 105 voor Windows, Mac en Linux, die deze week werd uitgebracht, bevatte oplossingen voor 24 kwetsbaarheden in eerdere versies van de software, waaronder รฉรฉn 'kritieke' fout en acht die het bedrijf als 'hoog' beoordeelde. ernst.
Een groot aantal (negen) van de beveiligingsproblemen die Google heeft aangepakt met Chrome 105 waren zogenaamde use-after-free-kwetsbaarheden, of fouten waardoor aanvallers eerder vrijgekomen geheugenruimte kunnen gebruiken om kwaadaardige code uit te voeren, gegevens te corrumperen en andere kwaadaardige acties te ondernemen . Vier van de gepatchte kwetsbaarheden waren heapbufferoverflows in verschillende Chrome-componenten, waaronder WebUI en Screen Capture.
Aanvallers maken vaak misbruik van bufferoverflows voor allerlei kwaadaardige doeleinden, waaronder het uitvoeren van willekeurige code, het overschrijven van gegevens, het laten crashen van systemen en het activeren van denial-of-service-omstandigheden.
Klembord overschrijven
Eรฉn probleem dat Google niet lijkt te hebben opgelost in de update draait om klemborden. Volgens Malwarebytes, wanneer gebruikers van Google Chrome (of een andere Chromium-gebaseerde browser) een website bezoeken, de site kan elke gewenste inhoud naar het besturingssysteemklembord van de gebruiker pushen, zonder toestemming van de gebruiker of enige interactie.
โDit betekent dat door simpelweg een website te bezoeken, de gegevens op uw klembord kunnen worden overschreven zonder uw toestemming of medewetenโ, aldus Malwarebytes.
Dit kan ertoe leiden dat gebruikers waardevolle gegevens verliezen die ze elders hadden willen knippen en plakken, terwijl aanvallers ook de kans krijgen om te proberen kwaadaardige code op het systeem van een gebruiker te sluipen, aldus de beveiligingsleverancier. Het probleem heeft te maken met het ontbreken van enige vereiste in Chrome en Chromium-gebaseerde browsers voor gebruikers om specifieke stappen te ondernemen, zoals het gebruik van โCtrl+Cโ om inhoud van een website naar het klembord van de gebruiker te kopiรซren, aldus Malwarebytes.
Beveiligingsonderzoeker Jeff Johnson identificeerde het probleem met Chrome als onderdeel van een breder probleem dat heeft invloed op zowel Safari als Firefox ook. โChrome is momenteel de grootste overtreder, omdat de vereiste voor gebaren van gebruikers om naar het klembord te schrijven per ongeluk werd overtreden in versie 104โ, zei hij deze week in een rapport.
De realiteit is echter dat gebruikers van andere browsers zoals Firefox en Safari ervoor kunnen zorgen dat websites hun systeemklemborden gemakkelijker overschrijven dan ze zich realiseren, zei Johnson. Hoewel beide browsers vereisen dat gebruikers enige actie ondernemen om website-inhoud naar hun klemborden te kopiรซren, zijn de acties veel breder dan ze zich zouden kunnen voorstellen.
Acties zoals focussen op een scherm of het indrukken van keydown/keyup en mousedown/mouseup kunnen ertoe leiden dat website-inhoud naar het klembord wordt gekopieerd zonder medeweten van de gebruiker, zei Johnson.
De onderzoeker merkte op dat Chrome-ontwikkelaars al op de hoogte zijn van het probleem en dit aanpakken. Google reageerde niet onmiddellijk op een Dark Reading-verzoek om commentaar.
โAanvallers kunnen deze bug misbruiken om kwaadaardige links naar de klemborden van gebruikers te kopiรซren, wat ertoe kan leiden dat gebruikers die links in hun adresbalk plakken en per ongeluk toegang krijgen tot kwaadaardige sitesโ, zegt Ivan Righi, senior cyberdreigingsanalist bij Digital Shadows.
โEen andere manier waarop deze bug kan worden uitgebuit, is het uitvoeren van frauduleuze cryptocurrency-transacties. Bedreigingsactoren zouden de fout kunnen benutten in combinatie met social engineering-aanvallen om gebruikers ertoe te brengen de verkeerde portemonnee-adressen in te voeren voor transactiesโ, zegt Righi. De kans dat dergelijke aanvallen succesvol zijn, is echter klein, omdat gebruikers waarschijnlijk abnormale inhoud op hun klembord zullen opmerken, zegt hij.
Een overvloed aan problemen met gebruik na gratis gebruik
Ondertussen werd de enige kritieke kwetsbaarheid (CVE-2022-3038) die Google aanpakte met de stabiele versie van Chrome 105 gerapporteerd door een beveiligingsonderzoeker van zijn eigen Project Zero-bug-jachtteam: de use-after-free-fout in Google Chrome Network Service geeft aanvallers op afstand een manier om willekeurige code uit te voeren
of trigger denial of service-voorwaarden op gebruikerssystemen door ze een bewapende website te laten bezoeken.
Externe bugjagers en beveiligingsonderzoekers rapporteerden alle resterende kwetsbaarheden die Google deze week in Chrome heeft aangepakt. De meest consequente hiervan lijkt CVE-2022-3039 te zijn geweest, een zeer ernstige, user-after-free kwetsbaarheid in WebSQL die twee onderzoekers van het Chinese 360 โโVulnerability Research Institute aan Google hebben gerapporteerd. De onderzoekers ontvingen $10,000 voor het melden van de bug aan Google โ het hoogste bedrag dat in de huidige reeks is toegekend.
Een andere grote impact, 'use-after-free'-fout in Chrome Layout leverde $9,000 op voor de anonieme beveiligingsonderzoeker die het probleem aan Google rapporteerde. De premies voor de overige bugs varieerden van $1,000 tot $7,500. Google heeft nog geen beloningen bepaald voor vier bug-onthullingen.
Zoals standaardpraktijk is geworden bij grote leveranciers, zei Google dat het de toegang tot bugdetails heeft beperkt totdat de meeste gebruikers de kans hebben gehad om de nieuwe, stabiele versie van Chrome te implementeren.
โWe zullen ook beperkingen handhaven als de bug voorkomt in een bibliotheek van derden waar andere projecten op dezelfde manier van afhankelijk zijn, maar nog niet zijn opgelost,โ Dat schrijft Google deze week in een blog. Een senior beveiligingsmanager van Microsoft had onlangs dezelfde reden gebruikt leg uit waarom de bekendmakingen van bugs van Microsoft ook weinig details bevatten de laatste tijd.
Hoewel de bugfixes vrijwel zeker de belangrijkste reden zijn waarom gebruikers zouden willen updaten naar de stabiele versie van Chrome 105, introduceert de nieuwe browserversie ook een handvol extra functies. Deze omvatten functies waarmee ontwikkelaars Windows-bedieningsknoppen (zoals sluiten, maximaliseren of minimaliseren) kunnen toevoegen aan progressieve webapps, een nieuwe picture-in-picture API voor Chrome op Android en verbeteringen aan de navigatie-API van Chrome.
