Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google dicht kwetsbaarheid in Chrome-browser die actief misbruikt wordt

Google heeft een ernstige use-after-free-kwetsbaarheid in zijn Chrome-browser gedicht. Er is een exploit voor de zeroday-kwetsbaarheid in omloop. Google raadt gebruikers aan zo snel mogelijk te updaten naar de laatste versie van de browser.

De use-after-free-kwetsbaarheid zit in de FileReader van Chrome, een web-api die sites de mogelijkheid geeft bestanden op het systeem van een gebruiker te benaderen. Use-after-free-kwetsbaarheden betreffen geheugencorruptie-bugs die te misbruiken zijn via browser-aanvallen. Bij de Chrome-kwetsbaarheid CVE-2019-5786 is het gevaar dat aanvallers een speciale website opzetten om geheugen op het systeem van een slachtoffer via de FileReader-api te benaderen en uiteindelijk willekeurig code uit te kunnen voeren.

Google adviseert gebruikers te updaten naar Chrome-versie 72.0.3626.121 voor Windows, Mac, Linux en Android. Google kondigde die versies vorige week vrijdag al aan, met de mededeling dat er een enkel beveiligingsprobleem was verholpen. In een update verduidelijkt het bedrijf dat er een exploit in het wild is aangetroffen en kwaadwillenden zich dus actief richten op misbruik van de kwetsbaarheid.

Justin Schuh van het beveiligingsteam van Google Chrome spreekt overigens van een keten van zerodays die Google aantrof, waardoor het mogelijk om een gecombineerde exploit gaat, bijvoorbeeld om aan de sandbox van Chrome te ontsnappen, wat de ernst van potentiële aanvallen zou vergroten. Schuh adviseert per direct te updaten.

Door Olaf van Miltenburg

Nieuwscoördinator

07-03-2019 • 17:40

71 Linkedin Google+

Submitter: Baris

Reacties (71)

Wijzig sortering
Je kunt checken of je op de laatste versie van Chrome draait door het volgende in de adresbalk te plakken en Enter te geven: chrome://settings/help

[Reactie gewijzigd door TobiasHD_ op 7 maart 2019 20:03]

chrome://version werkt ook.
Daar krijg je alleen te zien welke versie je hebt. Bij de link van Tobias geeft Chrome aan of hij up-to-date is en indien niet, kan je meteen updaten.
Maar die doet het niet in de Android-versie.
Deze werkt op Android, thanks
Dank u, ik zat gisteren al even te zoeken of ik nou de laatste versie had :?
De puntjes rechtsboven - Help - About
Wat een bijzondere locatie om je update info te halen. Ik zou eerder een updateknop onder Settings zetten o.i.d. Versienummers vind je inderdaad wel meestal bij een Help menu.

Ik heb na het lezen van de titel direct chrome opgestart en geprobeerd iets van updaten te vinden ;-)

Misschien een idee om aan te geven dat chrome standaard update als je opstart, dat berust op een aanname, ik kan geen geforceerde update knop o.i.d. vinden?
Klopt, Chrome update standaard vanzelf, tenzij je dat uitgezet hebt.
Dat klinkt vrij ernstig. Hopelijk is er weinig schade!

De vraag is echter, hoe komt bijvoorbeeld mijn moeder er achter dat ze zo snel mogelijk moet updaten? Doet chrome aan background updates of zijn de digibeten aangewezen op ict'ers in hun directe omgeving.
Ik had verwacht dat Google wel een pop up zou aanmaken zodra ze detecteren dat de chrome browser de kwetsbare versie heeft.


Op dit moment heel erg blij dat ik een paar maanden geleden overgestapt ben op Firefox.
Updaten gaat vanzelf, zonder interactie.
Dat is niet waar, je moet de browser herstarten en dat doe ik (en waarschijnlijk veel andere) niet zo vaak.
Gaat de browser niet zelf piepen als er een kritieke update klaar staat?
Ik zit in zo'n situatie (PC gaat praktisch nooit uit - altijd sleep - en Chrome blijft dan ook altijd draaien).
Rechtsboven wordt je subtiel ingelicht dat je moet herstarten (menu knopje wordt oranje) en als je dit voor lange tijd negeert dan wordt datzelfde menu knopje rood.

Zover ik weet is hij zelf nooit tot de actie gekomen om zelf een herstart van de browser uit te voeren.
Als er Chrome browser op je systeem staat dan draaien er tig Google-services en wordt er constant ge-update.
Zeker niet.
De update wordt enkel binnen gehaald maar niet geĂŻnstalleerd.

Zie ook:
https://i.imgur.com/MJ4hkWc.png
in je screenshot is de update al geinstalleerd, maar moet je de browser opnieuw opstarten. Dat is hetzelfde idee als windows update installeren en dat je dan windows even opnieuw moet opstarten.
Je doet je computer nooit uit?
Ken helaas genoeg mensen die dat niet doen.vooral laptop gebruikers, die klappen hem dicht en klaar
Nooit herstarten = nooit OS-updates toelaten en update-berichten negeren = vatbaar voor elke beveiligingslek en dus ten alle tijde te vermijden.

Chrome is bij mij altijd up to date, dus ik vermoed dat het automatisch gebeurd. Ik sluit chrome ook regelmatig om wat gebeugen/energie te sparen.

De enige gebruikers die gespaard blijken zijn iOS gebruikers want de render engine van chrome op Iphones en Ipads is WebKit, de engine van Safari, opgelegd door Apple.

[Reactie gewijzigd door Coolstart op 7 maart 2019 22:37]

Ik kreeg helemaal geen melding totdat ik zelf naar Help ging. Maar ik heb "Laat Chrome in de achtergrond draaien" uitstaan.
Dichtklappen betekend dat het systeem (uiteindelijk) geen stroom meer verbuikt, dus waarom niet? Ook een desktop kan gewoon stroomloos 'slapen'. Als de PC dan weer wakker wordt, heb je dus niet opnieuw opgestart...
dat is precies het punt van Gropah...
De meeste mensen in mijn omgeving snappen de voordelen van standby/hibernate niet en schakelen juist altijd volledig uit
Ik herstart ook niet zo vaak, als engineer heb ik meestal een bak aan tools open staan en ben ik op redelijk wat zaken ingelogt, als ik opnieuw moet opstarten ben ik een kwartier bezig om al mijn tooling weer aan te zetten en in te loggen op diverse sites. Meestal herstart ik wel eens in de week omdat ik te laat de stroom er in plug :+
Workstation niet.
Notebook gaat op standby (klep dicht).
Mijne draait ook 24/7. Draaien 3 vm's in mijn systeem welke content serven (glas) en ik stake 24/7 crypto-munten. Echt niet ontzettend gek hoor.. Zojuist gekeken en mijn chrome is reeds bijgewerkt, ik sluit mijn browsers na gebruik altijd af.
Ik heb met mijn Macbook Pro wel boven de 200 dagen 'uptime' gehad ja. Zo vaak zijn er geen (interessante) MacOS updates dus waarom zou ik?
Op mijn werk nooit en thuis hibernate ik.
Hibernate betekent ook uit staan (itt sleep mode)...enkel en alleen wordt de inhoud van de RAM opgeslagen op de SSD/HDD en terug ingeladen bij het starten, waardoor de programma's nog openstaan.

En als het gewone standby/sleep mode zou zijn: ook dat is geen ramp voor het milieu: het is misschien 0.0001% (misschien wat hoger, misschien wat lager, alleszins heel weinig) van het verbruik van een individu...als iedereen dit zou doen zou er maar een winst zijn van 0.0001%. Dit kan absoluut veel lijken, maar relatief is het zo gering dat het niets uitmaakt...Hetzelfde geldt bv. voor het laten zitten van GSM opladers in het stopcontact.

Als je iets wil doen voor het mileu op persoonlijk vlak is het belangrijk naar de grotere verbruiken te kijken en daar iets proberen aan te doen, niet naar miniscule verbruiken zoals sleep modus.

[Reactie gewijzigd door Clemens123 op 8 maart 2019 11:09]

Hij laat zn pc aan. Dus gewoon aan, zonder hibernate of standby.
Maar kennelijk heeft ie daar redenen voor.
Net als werken (in het algemeen) inderdaad, dat doe je zeker ook niet dan?

[Reactie gewijzigd door watercoolertje op 7 maart 2019 20:39]

Jawel maar ik doe des nachts wel mn pc uit.
Ik alleen in de zomer in de winter is die warmte welkom en bespaar ik gas (en lever ik meer stroom dan ik verbruik dus ik wil koment jaar nog meer stroom gaan verbruiken)...

Je kan trouwens beter werken op een laptop ipv pc veel zuiniger :Y)

[Reactie gewijzigd door watercoolertje op 7 maart 2019 22:41]

Nee je nutteloze post is goed voor het milieu :z.

Mijn pc blijft niet voor niets aan, 's nachts wordt er gesynct en gebuild.
Ik had ooit begrepen (let wel, ik kan er even snel geen bron voor vinden om het hard te maken) dat wanneer Chrome zich in de achtergrond updatet alle tabs die vanaf dat moment geopend worden, al op de nieuwe versie draaien.
Dat zeker, maar in mijn geval kan de update nog wel een zetje geven.
Ik zie deze reactie al vaker, maar dat geld alleen voor thuis gebruikers, en dat moeten ze de datum tijd goed hebben staan.

Maar er zijn ook bedrijven die niet zomaar updates installeren, en eerst even willen kijken of alles blijft werken. Of misschien geen mogelijkheid hebben om even snel vanzelf te updaten.

Dus is de melding zeer welkom.
Ik zet default elke service uit die zich op mijn systeem schaart, als een echte Tweaker dus, dus 100% klopt jouw statement niet, athans ik verwacht op een Tweaker forum wel iets meer dan de huis tuin en keuken windows gebruiker, die iig. op de hoogte is van wat er op z'n PCtje gebeurd :P

Zo'n beetje elke 'app' en game wil tegenwoordig een service o.i.d. installeren, nou die mogen van mij dus lekker alleen 'triggered' opstarten, m.a.w. als ik dus handmatig chrome opstart.

Pro tip: Gebruik een TaskManager replacer zoals ProcessHacker, die laat ook gewoon zien als er een service zich opeens installeert op je PC :-) (Naast vele andere power-user friendly opties/tools)

In het geval van Google/Chrome overigens gaat het om DRIE (nog maar liefst) services die worden geinstalleerd, en volgens mij 2 Tasks in Task Scheduler. Firefox heeft bij installatie tenminste nog de OPTIONELE optie 'Firefox Maintenance Service', het updaten daar gaat lekker dmv. de client zelf.

Nja, installeer Chrome in principe alleen voor Chrome Remote Desktop, Firefox al sinds ik me kan herinneren eigenlijk. Die grote corporaties vertrouw ik voor geen cent meer.

Wordt wat bewuster van hoe het een beetje op de achtergrond werkt, dan kan je ook sneller erachter komen mocht er een van deze services uit staan of niks doen :P

[Reactie gewijzigd door Marctraider op 7 maart 2019 19:51]

Updaten gaat vanzelf, zonder interactie.
Mijn Chrome op Linux kan zichzelf niet updaten. Daarvoor moet ik in Ubuntu Software Updates starten of `sudo apt-get update` uitvoeren. Chrome toont ook geen vinkje bij het versienummer dat aangeeft of je de laatste versie al hebt.

[Reactie gewijzigd door Barryke op 8 maart 2019 10:05]

Snap je gevoel. Maar je hebt geen enkele garantie dat je browser, welke dan ook, gevrijwaard is van dit soort problemen.
Wat je mag hopen is dat men eerlijk en snel is met de fix.
Enige verschil met chrome is dat je op firefox nog noscript kunt draaien. Vrijwel alle (browser) exploits hebben javascript nodig om succesvol te zijn.

[Reactie gewijzigd door Yemoke op 7 maart 2019 18:25]

Vrijwel elke website ook...
Toch heb ik bij tweakers maar 2 sources nodig van de 8.
Je heb altijd nog uMatrix als vervanger voor NoScript op zowel Firefox als Chrome. En als het puur om javascript gaat kan je ook gewoon met uBlock Origin in advanced user mode javascript per domein of sub-domein verbieden. Ik zie eigenlijk geen toegevoegde waarde meer aan NoScript, of is cross-site suspicious requests het enige nog dan? In hoeverre doet Firefox hier zelf al niet wat tegen?
Hmm die kende ik nog niet, zal er eens naar kijken. Voor mij persoonlijk is de whitelist ipv de blacklist fijner. Misschien beetje vastgeroest na al die jaren :P Gelukkig is er keuze voor iedereen :)
Je kan zowel uMatrix als uBlock Origin instellen met whitelist of blacklist zoals je wilt. Het handige van uMatrix, gezien die eigenlijk hetzelfde is als NoScript, is dat er ook ad-blocking inzit, dus bekende ad-domains worden al geblokkeerd.

uMatrix is heel gedetailleerd in te stellen, je moet alleen even goed kijken waarneer je bijvoorbeeld iets global doet of per site. Het is wel handig om de handleiding even door te kijken voor hoe alle instellingen precies zitten, het is niet moelijk hoor, maar als je snapt hoe de matrix ui in elkaar zit is het allemaal een stukje makkelijker.
uMatrix wiki: https://github.com/gorhill/uMatrix/wiki

Toen Firefox naar de quantum engine ging werkte noscript niet en zodoende ben ik bij uMatrix uitgekomen en die is mij eigenlijk uitstekend bevallen. Het heeft ook een makkelijke logger om te zien wat je misschien nog even aan moet zetten.
In de praktijk is het misschien nog wel een discussie wat de meerwaarde van uMatrix uitgebreide mogelijkheden zijn als je je bedenkt dat je met uBlock Origin ook 3rd-party scripts en 3rd-part frames kan blokkeren, maar ook nog losse scripts kan blokkeren of toelaten wat met uMatrix weer niet kan. uBO in advanced user mode is veel uitgebreider en je kan veel meer naar je hand zetten dat het eigenlijk de vraag is of je iets als uMatrix/NoScript nog wel nodig hebt. Als je echt tot in de detail wilt gaan is uMatrix/NoScript wel nodig, maar eigenlijk volstaat uBO in advanced user mode wel.
uBO blocking modes: https://github.com/gorhill/uBlock/wiki/Blocking-mode
Ik gebruik zelf de medium-mode qua instellingen, maar om sites werkend te krijgen noop ik alleen de 3rd-party domein die ik nodig heb om een site werkend te krijgen, ik volg niet de oplossing van de handleiding. Sommige 3rd-party domein, bijvoorbeeld youtube of cdn's laat ik global toe.
Cool, dank je wel! :)
Het is ook zeker meer een gevoelsdingetje hoor. Doelde meer op het feit dat ik toevallig deze kwetsbaarheid gemist heb door mijn overstap.

Google heeft het goed opgelost. Ook zeker petje af voor Google. Net ook even door het huis gelopen en ook iedereen hier heeft de update op de achtergrond ontvangen.


Edit: Echter lees ik net online dat een PDF bug, die wat minder ernstig lijkt(tot nu toe?), pas in april gepatched gaat worden.

https://www.zdnet.com/art...-user-data-via-pdf-files/

Meer even voor future referentie. Keep your browsers up to date :)

[Reactie gewijzigd door _Galavant op 7 maart 2019 18:16]

Uhm, Firefox heeft ook genoeg lekken hoor.
Klopt. net zoals ieder soort software of hardware. Ik heb ook nooit aangeven dat Firefox geen lekken heeft.
Ik ga er dus van uit dat enkel Google Chrome getroffen is en niet alle Chromium based browsers.
Waarom? Het gaat om een standaard-API, de implementatie zal dus gedeeld worden door alle op Chromium gebaseerde browsers. Natuurlijk is het mogelijk dat ze door een of andere voorzorgmaatregel niet vatbaar zijn, of dat door andere verschillen niet de hele keten van privilege-escalatie werkt, maar daar zou ik niet van uit gaan.
Ik zie geen melding voorlopig van de andere browsers vandaar.
Dit is ook de vraag die ik me af vroeg, maar alle Chromium based browsers lijken vatbaar:
RHEL Bugzilla issue
Vivaldi (laatste punt uit Changelog)
De vermoedelijke change in Chromium heb ik ook gevonden, maar die zal ik even niet plaatsen omdat het om een 0 day issue gaat.

Overigens lijkt er ook nog een issue in Windows te zitten, te combineren met deze bug: Google Security Blog.

[Reactie gewijzigd door Cheap Apps op 8 maart 2019 10:56]

Is heel makkelijk te voorkomen door PathMyPc bijvoorbeeld per 24 uur automatisch te laten updaten, dan is elke laptop of PC die permanent aanstaat verzekerd van software die up-to-date wordt gehouden.

Chrome bv wordt automatisch gestopt (wel optie daartoe aanvinken), backup daarvan opgeslagen (optie daartoe aanvinken), dan geupdate.

Kind dan de was doen, waarom heel moeilijk doen als er heel makkelijke update tools zijn.

[Reactie gewijzigd door SirRonaldwwnl op 7 maart 2019 23:36]

Er zijn ook mensen die niet altijd als eerste het nieuwste van het nieuwste willen hebben, ik ben daar een van. Al helemaal met het updaten van software, het gebeurt vaak genoeg (eigenlijk is een keer al te veel) dat er ondanks alle tests toch nog een bugje in blijkt te zitten. Zo laat ik mijn pc bijvoorbeeld niet automatisch updaten op patch Tuesday, maar doe dat met de hand een week later. Bij alle andere software kijk ik eerst de 'whats new' lijst door, om te zien of de update in mijn geval voordelen bevat. Is dat niet het geval, dan update ik niet.
Gebruik voor alle windows update deze tool http://forum.ru-board.com/topic.cgi?forum=5&topic=48142#2.

Middels Pollicies binnen Windows Pro kan je het zo instellen dat Normale Gebruikers en/of Hoofd Gebruikers het onmogelijk wordt gemaakt updates te installeren dan alleen bv Defender Virus Definities en dergelijke.

Zo kan je het ook onmogelijk maken om vanuit de Gebruiker Positie met Administrator rechten iets bepaalds uit te voeren, door juist een update voor die gebruikers (makkelijker is een blokkeer_group te maken en daar die gebruikers toe te voegen) om zo een WEIGERING van uitvoering toe te passen bij het executen van bv een programma, zoals een update of ander gevoelig programma welke alleen voor bepaalde group gebruikers bestemd is.

Dit dwingt jezelf om alsAdministrator in te loggen en systeem updates uit te voeren of als bv backup operator in te loggen en zo backups te maken, iets wat je JUIST NIET als Administrator moet doen.
beetje late reactie van tweakers
Ja heel erg laat. Een maand oud al.
"Erger" nog, het was eerder op de radio te horen dat er een probleem met Chrome was dan dat het op Tweakers stond.

[Reactie gewijzigd door Alfa1970 op 7 maart 2019 18:44]

Waarom dan zelf geen nieuws submit doen dan? Klagen is zeker makkelijker.

ot: Het heeft deze keer wel vrij lang geduurd voordat zo'n fout aangepakt wordt door Google.
Omdat hier nieuws submitten super zinloos aanvoelt.

Ik heb over de jaren heen wel honderden berichten gesubmit. nul feedback, null nieuws berichten.

En gezien het aantal gesubmitte nieuws wat hier de frontpage haalt ook bijna nihil is (hoe vaak zie je het nog). Snap ik best wel dat men liever zeikt onder een nieuws bericht, dan actief nieuws gaat submitten.
Ik las het zelfs eerder op een Vlaamse nieuwssite, en daar stond het al sinds vanochtend.
Juist ja, las het gister al op een simpele krantensite, terwijl je toch echt verwacht dat dit soort nieuws eerst op tweakers te lezen valt.
Een tip over hoe je te weten komt of je de nieuwste chome versie hebt:

Rechtsboven op de 3 puntjes klikken>help>over google chrome ;)
Ik schrok, maar ben al up2date.
Ik kwam hier alleen omdat ik de titel niet begreep :)
Chrome was bij mij al door de PatchMyPc al geupdate voordat het nieuws bekend was gemaakt te Nederland zelf, zodoende was ik bij voorbaat al beschermd alleen al.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True