Als je een fan bent van Google Chrome of Microsoft Edge, ontvang je waarschijnlijk automatisch updates en ben je waarschijnlijk al up-to-date.
Echter…
...voor het geval je recentelijk updates hebt gemist, raden we je aan ga nu meteen kijken, omdat de Chromium-browserkern, waarop zowel Edge als Chrome zijn gebaseerd, niet één maar twee heeft gepatcht uitvoering van zero-day externe code (RCE) bugs recentelijk.
Google houdt de details van deze bugs voorlopig stil, vermoedelijk omdat ze gemakkelijk te exploiteren zijn als je precies weet waar je moet zoeken.
Een naald is immers gemakkelijk te vinden, zelfs in een gigantische hooiberg, als iemand je vertelt in welke baal hij zit voordat je begint.
Browsergebaseerde beveiligingsproblemen die leiden tot uitvoering van externe code zijn altijd de moeite waard om serieus te nemen, vooral als ze al bekend zijn bij en worden gebruikt door cybercriminelen.
En nul-dagen, zijn per definitie bugs die de slechteriken als eerste vonden, zodat er nul dagen waren waarop je proactief had kunnen patchen.
RCE als schadelijk beschouwd
RCE betekent precies wat het zegt: iemand buiten uw netwerk, buiten uw huishouden, buiten uw bedrijf - misschien zelfs aan de andere kant van de wereld - kan tegen uw apparaat zeggen: "Voer dit programma van mijn keuze uit, zoals ik u zeg , zonder iets weg te geven aan gebruikers die momenteel zijn ingelogd.”
Wanneer u aan het browsen bent en een externe website probeert u potentieel riskante inhoud op te dringen, ontvangt u meestal op zijn minst een waarschuwing, zoals een Do you want to download this file?
dialoogvenster of een pop-up die u vraagt Are you really sure (Yes/No)?
Soms, afhankelijk van de browserinstellingen die u hebt gekozen, of op basis van beperkingen die door uw IT-systeembeheerders voor u zijn toegepast, kunt u zelfs een melding krijgen in de trant van: Sorry, that option/file/download isn't allowed
.
Maar een RCE-bug in de browser betekent over het algemeen dat door simpelweg naar een webpagina te kijken, zonder op knoppen te klikken of waarschuwingen te zien, zou je aanvallers een beveiligingslek kunnen bieden waardoor ze je browser kunnen misleiden om frauduleuze programmacode uit te voeren zonder dat je er maar iets voor hoeft te doen.
Veelvoorkomende manieren waarop dit soort beveiligingslekken kunnen worden geactiveerd, zijn onder meer: HTML-inhoud met boobytraps; opzettelijk slecht geconstrueerde JavaScript-code; en misvormde afbeeldingen of andere multimediabestanden waarin de browser zich verslikt terwijl hij probeert de inhoud voor te bereiden voor weergave.
Als een afbeelding bijvoorbeeld maar een paar kilobytes aan geheugen nodig leek te hebben, maar later megabytes aan pixelgegevens bleek te bevatten, zou je hopen dat je browser deze afwijking op betrouwbare wijze zou detecteren en niet zou proberen die megabytes aan pixels in kilobytes te proppen van geheugenruimte.
Dat zou leiden tot wat bekend staat als een buffer overloop, waardoor het systeemgeheugen wordt beschadigd op een manier die een goed voorbereide aanvaller kan voorspellen en misbruiken om schade aan te richten.
Evenzo, als JavaScript-code binnenkomt die uw browser vertelt: "Hier is een tekenreeks die een tijd en datum vertegenwoordigt die ik u wil onthouden voor later", zou u hopen dat uw browser alleen zou toestaan dat die gegevens worden behandeld als een blok van tekst.
Maar als het JavaScript-systeem later zou kunnen worden misleid om datzelfde gegevensblok te gebruiken alsof het een geheugenadres was (in C- of C++-terminologie, een wijzer) dat aangaf waar het programma vervolgens naartoe zou moeten gaan, zou een goed voorbereide aanvaller de browser kunnen misleiden om wat binnenkwam als onschadelijke gegevens te behandelen als een op afstand geleverd miniprogramma dat moet worden uitgevoerd.
In het jargon heet dat shellcode, van aloude Unix-terminologie waarin code verwijst naar een reeks programma-instructies, en schelp is de algemene naam voor een besturingsprompt waar u een reeks opdrachten naar keuze kunt uitvoeren.
Stel je voor dat je de Terminal
app op een Mac, of een PowerShell
prompt op Windows - dat is het soort macht dat cybercriminelen doorgaans over u en uw netwerk krijgen als ze een RCE-gat kunnen gebruiken om pop een schelp, zoals dat in de handel schertsend wordt genoemd, op uw apparaat.
Erger nog, een dergelijke "gepopte" externe shell draait over het algemeen volledig op de achtergrond, onzichtbaar voor iedereen die momenteel achter de computer zit, dus er zijn weinig of geen verklikkersignalen dat een malafide operator rondneust en misbruik maakt van uw apparaat achter je rug.
Een two-pack van zero-days
Toen we onze RCE-voorbeelden hierboven gaven, kozen we niet toevallig voor boobytraps-afbeeldingsbestanden en malafide JavaScript-code.
We hebben deze als voorbeelden gemarkeerd omdat de twee zero-day Chrome-bugs die de afgelopen dagen zijn opgelost, als volgt zijn:
- CVE-2023-2033: Typ verwarring in V8 in Google Chrome vóór 112.0.5615.121. Een aanvaller op afstand zou dat kunnen mogelijk misbruik maken van heap-corruptie via een bewerkte HTML-pagina. Chromium-beveiligingsernst: Hoge.
- CVE-2023-2136: Integeroverloop in Skia in Google Chrome vóór 112.0.5615.137. Een externe aanvaller die het rendererproces had gecompromitteerd, kon mogelijk een sandbox-ontsnapping uitvoeren via een bewerkte HTML-pagina. Chromium-beveiligingsernst: Hoge.
Voor het geval je het je afvraagt: V8 is de naam van de open-source JavaScript-engine van Chromium, waar JavaScript dat in webpagina's is ingesloten, wordt verwerkt.
En Skia is een open-source grafische bibliotheek gemaakt door Google en gebruikt in Chromium om HTML-opdrachten en alle ingesloten grafische inhoud om te zetten in de pixels op het scherm die de visuele vorm van de pagina vertegenwoordigen. (Het proces van het omzetten van HTML in grafische afbeeldingen op het scherm staat in het jargon bekend als weergave een pagina.)
A type verwarringsbug is er een die op dezelfde manier werkt als het voorbeeld van tekst-behandeld-als-aanwijzer dat we hierboven hebben gepresenteerd: een stuk gegevens dat volgens één set beveiligingsregels binnen het JavaScript-proces zou moeten worden verwerkt, wordt uiteindelijk op een onveilige manier gebruikt.
Dat is een beetje zoals een gastenpas krijgen bij de receptie van een gebouw, en dan ontdekken dat als je de pas met je duim precies op de juiste plek houdt om het label "Ik ben maar een gast" te verbergen, je de beveiliging kunt misleiden bewakers in het gebouw om je te laten gaan waar je niet zou moeten, en dingen te doen die je niet hoort te doen.
En een integer overloop is waar een rekenkundige berekening misgaat omdat de getallen te groot werden, net zoals de tijd een of twee keer per dag rondloopt op je klok.
Als je een analoge klok een uur vooruit zet van bijvoorbeeld 10 over 12 uur, loopt de tijd rond tot 10 over 1 uur, omdat de wijzerplaat alleen is gemarkeerd van 1 tot 12; evenzo, wanneer een digitale klok middernacht bereikt, draait hij terug van 23:59 naar 00:00, omdat hij niet verder kan tellen dan 24.
Wat te doen?
Zou het niet handig zijn als er één versienummer zou zijn waarop u kunt controleren in elke op Chromium gebaseerde browser en op elk ondersteund platform?
Helaas is dat niet het geval, dus we hebben hieronder gemeld wat we hebben gevonden.
Op het moment van schrijven [2023-04-24T16:00Z] lijken de officiële laptopversies van Chrome: 112.0.5615.137 or 112.0.5615.138 voor ramen, 112.0.5615.137 voor Mac, en 112.0.5615.165 voor Linux.
Alles op of na die nummers bevat patches voor de twee nuldagen hierboven.
Edge op je laptop zou moeten zijn 112.0.1722.58 of later.
Helaas lijken Chrome en Edge op Android (we hebben de onze zojuist geüpdatet) nog steeds respectievelijk 112.0.5615.136 en 111.0.1661.59 te zijn, dus we kunnen je alleen maar adviseren om de komende dagen op updates te letten.
Evenzo verschijnen op iOS onze zojuist bijgewerkte versies van Chrome en Edge respectievelijk als 112.0.5615.70 en 112.0.1722.49, dus we gaan ervan uit dat die versies binnenkort worden bijgewerkt om ervoor te zorgen dat beide zero-days zijn gepatcht.
- Chrome op je laptop. De URL bezoeken
chrome://settings/help
zou u de huidige versie moeten laten zien, vervolgens controleren op gemiste updates en proberen u up-to-date te krijgen als u dat nog niet was. - Chrome op iOS. De URL
chrome://version
toont uw huidige versie. Ga naar de App Store-app en tik rechtsboven op je accountfoto om te zien of er updates beschikbaar zijn die nog geïnstalleerd moeten worden. Je kunt gebruikenUpdate all
om ze allemaal tegelijk te doen, of update apps afzonderlijk uit de onderstaande lijst als je dat liever hebt. - Chrome op Android. De URL
chrome://version
toont uw huidige versie. Het menu met drie stippen zou een pijl omhoog moeten tonen als er een Chrome-update is die u nog niet heeft. U moet zich aanmelden bij uw Google Play-account om de update te krijgen. - Rand op je laptop. De URL bezoeken
edge://settings/help
zou u de huidige versie moeten laten zien, vervolgens controleren op gemiste updates en proberen u up-to-date te krijgen als u dat nog niet was. - Rand op iOS. De URL
edge://version
toont uw huidige versie. Ga naar de App Store-app en tik rechtsboven op je accountfoto om te zien of er updates beschikbaar zijn die nog geïnstalleerd moeten worden. Je kunt gebruikenUpdate all
om ze allemaal tegelijk te doen, of update apps afzonderlijk als je dat liever hebt. - Rand op Android. De URL
edge://version
toont uw huidige versie. Open de Google Play-app en tik rechtsboven op uw account-blob. Ga in de Apps en apparaat beheren scherm om te zoeken naar updates die in behandeling zijn. Je kunt gebruikenUpdate all
om ze allemaal tegelijk te doen, of er doorheen te tikken Zie details om ze afzonderlijk bij te werken.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://nakedsecurity.sophos.com/2023/04/24/double-zero-day-in-chrome-and-edge-check-your-versions-now/
- : heeft
- :is
- :niet
- :waar
- $UP
- 1
- 7
- 70
- a
- in staat
- boven
- absoluut
- Account
- adres
- Alles
- langs
- al
- altijd
- an
- en
- android
- elke
- iedereen
- gebruiken
- app store
- verscheen
- toegepast
- apps
- ZIJN
- rond
- AS
- At
- auteur
- auto
- webmaster.
- Beschikbaar
- terug
- achtergrond
- background-image
- slecht
- gebaseerde
- BE
- omdat
- geweest
- vaardigheden
- achter
- wezen
- onder
- Groot
- Beetje
- Blok
- grens
- zowel
- Onder
- browser
- Bladeren
- Bug
- bugs
- Gebouw
- maar
- by
- C + +
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- CAN
- geval
- Veroorzaken
- Centreren
- kans
- controle
- keuze
- Kies
- het kiezen van
- uitgekozen
- Chrome
- chromium
- Klok
- code
- kleur
- afstand
- Aangetast
- computer
- verwarring
- beschouwd
- content
- onder controle te houden
- Kern
- kon
- deksel
- aangemaakt
- Actueel
- Op dit moment
- CYBERCRIMINEEL
- cybercriminelen
- gegevens
- Datum
- dag
- dagen
- Afhankelijk
- gegevens
- apparaat
- Dialoog
- digitaal
- Display
- do
- doen
- Dont
- verdubbelen
- Download
- rand
- ingebed
- eindigt
- Motor
- verzekeren
- geheel
- vooral
- Zelfs
- OOIT
- Alle
- precies
- voorbeeld
- voorbeelden
- Exploiteren
- oog
- Gezicht
- ventilator
- weinig
- Dien in
- Bestanden
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- het vinden van
- Voornaam*
- vast
- flips
- volgt
- Voor
- formulier
- Naar voren
- gevonden
- oppompen van
- voor
- Algemeen
- algemeen
- krijgen
- het krijgen van
- reus
- Vrijgevigheid
- Go
- Goes
- Kopen Google Reviews
- Google Chrome
- Google Play
- grafiek
- Gast
- handig
- Hebben
- Hoogte
- Gemarkeerd
- houden
- Gat
- hoop
- huishouden
- zweven
- HTML
- HTTPS
- i
- beeld
- afbeeldingen
- in
- omvatten
- individueel
- geïnstalleerd
- instructies
- in
- iOS
- IT
- jargon
- JavaScript
- voor slechts
- Houden
- houden
- blijven
- bekend
- label
- laptop
- leiden
- verhuur
- Bibliotheek
- als
- lijnen
- linux
- Lijst
- Kijk
- op zoek
- Mac
- beheer
- Marge
- gemarkeerd
- max-width
- middel
- Geheugen
- Menu
- Microsoft
- Microsoft Edge
- macht
- Multimedia
- naam
- Noodzaak
- netwerk
- volgende
- NIST
- een
- notificatie
- aantal
- nummers
- of
- officieel
- on
- EEN
- Slechts
- open
- open source
- opening
- operator
- or
- Overige
- onze
- buiten
- over
- pagina
- passeren
- verleden
- Patches
- Paul
- in afwachting van
- misschien
- beeld
- pixel
- plaats
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- positie
- Berichten
- mogelijk
- energie
- voorspellen
- de voorkeur geven
- Voorbereiden
- gepresenteerd
- Voorafgaand
- waarschijnlijk
- Verwerkt
- Programma
- zorgen voor
- zetten
- werkelijk
- ontvangen
- onlangs
- receptie
- verwijst
- niet vergeten
- vanop
- gemeld
- vertegenwoordigen
- vertegenwoordigen
- beperkingen
- Riskant
- ronde
- reglement
- lopen
- lopend
- dezelfde
- zandbak
- zegt
- scherm
- veiligheid
- te zien
- Volgorde
- reeks
- settings
- Shell
- moet
- tonen
- kant
- teken
- Signs
- evenzo
- eenvoudigweg
- single
- Zittend
- So
- solide
- sommige
- Iemand
- Tussenruimte
- begin
- Still
- shop
- Draad
- dergelijk
- ondersteunde
- vermeend
- SVG
- system
- het nemen
- Tik
- vertellen
- vertelt
- terminologie
- neem contact
- dat
- De
- de wereld
- Ze
- Er.
- Deze
- ze
- spullen
- dit
- die
- Door
- niet de tijd of
- naar
- ook
- top
- handel
- overgang
- transparant
- behandelen
- veroorzaakt
- BEURT
- Gedraaid
- Draai
- Twee keer
- typisch
- voor
- unix
- up-to-date
- bijwerken
- bijgewerkt
- updates
- URL
- .
- gebruikt
- gebruikers
- gebruik
- versie
- via
- kwetsbaarheden
- waarschuwing
- Manier..
- manieren
- we
- web
- Website
- waren
- Wat
- welke
- en
- WIE
- Breedte
- wil
- ruiten
- Met
- zonder
- afvragen
- Bedrijven
- wereld
- waard
- zou
- het schrijven van
- You
- Your
- zephyrnet
- nul