Google patcht zeroday in V8-engine in Chrome

Google heeft voor de tweede keer in korte tijd een patch uitgebracht voor een zeroday in Chrome. In een nieuwe beveiligingsupdate repareert het bedrijf tien kwetsbaarheden, waarvan er een actief werd uitgebuit.

Google heeft versie 86.0.4240.183 van Chrome uitgebracht. In de changelog staat dat het bedrijf in totaal tien fixes heeft doorgevoerd voor kwetsbaarheden. Vier daarvan werden door externe beveiligingsonderzoekers aangedragen. Het gaat onder andere om een use after free-bug en een manier om policies te omzeilen in Angle. Zeven van de tien bugs hebben de classificatie Hoog risico gekregen.

Volgens Google wordt een van de kwetsbaarheden actief misbruikt. Het gaat om CVE-2020-16009, maar Google geeft daar verder geen details over. In de blogpost schrijft Google alleen dat het om een 'inappropriate implementation in V8' gaat. V8 is de JavaScript-engine in Chrome. Verder is niet bekend in welke mate de bug werd uitgebuit en door wie, of voor welk doel.

Het is de tweede keer in korte tijd dat Google een zeroday in Chrome patcht. Eerder in oktober patchte het bedrijf CVE-2020-15999, een bug in de font-library in de browser. Ook maakte Google vorige week een bug openbaar in Chrome voor Windows die actief werd uitgebuit, maar die pas op 10 november tijdens Microsofts Patch Tuesday wordt gerepareerd.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 03-11-2020 08:0337

03-11-2020 • 08:03

37 Linkedin

Lees meer

Google repareert 26 kwetsbaarheden in Chrome 97 waaronder één kritieke Nieuws van 20 januari 2022
Google dicht tiende zerodaylek in Chrome in 2021 Nieuws van 14 september 2021
Google dicht zeroday-lek in Chrome dat actief misbruikt wordt Nieuws van 16 juli 2021
Microsoft repareert tijdens Patch Tuesday 117 kwetsbaarheden en vier zerodays Nieuws van 14 juli 2021
Google Chrome 89 gebruikt minder geheugen op Windows, Android en macOS Nieuws van 12 maart 2021
Microsoft waarschuwt voor tcp/ip-kwetsbaarheden en zeroday tijdens Patch Tuesday Nieuws van 10 februari 2021
Java 17 krijgt nieuwe implementatie voor randomnummergenerators Nieuws van 9 februari 2021
Google publiceert details over geavanceerde hack met vier zerodays Nieuws van 13 januari 2021
'Journalisten werden aangevallen door zero-click iOS-zeroday' Nieuws van 21 december 2020
Google Chrome laadt na 87-update sneller pagina's en gebruikt minder geheugen Nieuws van 17 november 2020
Google repareert opnieuw twee zerodays in Chrome Nieuws van 12 november 2020
Google publiceert details van Windows-zeroday die actief misbruikt wordt Nieuws van 31 oktober 2020
Microsoft verhelpt 87 beveiligingsproblemen tijdens Patch Tuesday Nieuws van 14 oktober 2020
Microsoft repareert twee zerodays in Windows tijdens Patch Tuesday Nieuws van 12 augustus 2020
Microsoft dicht 111 kwetsbaarheden tijdens Patch Tuesday Nieuws van 13 mei 2020
Onderzoeker publiceert zerodays IBM-software nadat IBM weigerde patch te maken Nieuws van 23 april 2020
Meer producten en artikelen
Beveiliging en antivirus Google Chrome

Reacties (37)

-Moderatie-faq
37
37
27
5
0
1
Wijzig sortering
josttie
3 november 2020 08:09
Dus voor bugs die in Windows gevonden worden, worden alle details op het internet gegooid inclusief een kant en klare proof of concept van een aanval, maar over hun eigen producten geven ze geen details. Dat vind ik een beetje hypocriet.
elmuerte
@josttie3 november 2020 08:39
CVE-2020-16009 is gemaakt op 2020-07-27, dat is 98 dagen geleden. Google's Project Zero geeft 90 dagen de tijd.
LOTG
@elmuerte3 november 2020 08:44
Microsoft kreeg 7 dagen omdat het actief misbruikt werd, net als deze...
wildhagen
@elmuerte3 november 2020 08:47
Allleen is 98 dagen dus wel langer dan 90, dus volgens hun eigen richtlijnen hadden ze de details bekend moeten maken. Wat dus niet gebeurd is.

Daarnaast, recent kreeg Microsoft maar 7 dagen, ipv 90 dagen.

Google meet hier duidelijk met twee maten, op zijn allerminst. Dit geeft een hele verkeerde smaak op deze manier.
dsmeef
@wildhagen3 november 2020 12:49
Het is meer en meer een soort marketing instrument op deze manier
Tjolk
@wildhagen4 november 2020 12:15
Die 7 dagen was omdat dat lek al actief misbruikt werd:

nieuws: Google publiceert details van Windows-zeroday die actief misbruikt wordt
Google stelt dat het Microsoft zeven dagen de tijd heeft gegeven om deze kwetsbaarheid te verhelpen. De deadline zou zo kort zijn wegens de tekenen dat hij al in het wild gebruikt wordt.
Het heeft heel weinig zin om iets geheim te houden voor een potentieel doelwit terwijl de "bad guys" het geheim al kennen, nietwaar?
batjes
@elmuerte3 november 2020 08:54
Zocht iemand nog een voorbeeld een paar dagen geleden toen Google eventjes alle details blootlegde van een exploit van Microsoft. Het komt gewoon uit de lucht vallen.

Waarom springt de actief misbruikt regel van 7 dagen niet in werking?
Waarom springt de openbaring na 90 dagen regel niet in werking?

Oja, want het gaat nu over Google zelf. ProjectX is overduidelijk een project om de concurrentie zwart te maken.
latka
@batjes3 november 2020 10:00
De bugs zijn niet gevonden door project zero
batjes
@latka3 november 2020 10:23
Nou en?

Het zou Google sieren om elke exploit gelijk te behandelen. Maakt niet uit of ze het zelf vinden, aan hun gereport wordt, of het hun eigen software is...

Je kunt niet van anderen eisen juist te handelen, als je zelf niet het goede voorbeeld geeft.
Anoniem: 84766
@batjes3 november 2020 08:58
Aan de andere kant is IE Edge nu gebaseerd op Chrome en heeft dus ook deze kwetsbaarheid neem ik aan. Als ze nu alle details geven, dan is dat ook zeer negatief voor Microsoft.
Mr.Monk
@Anoniem: 847663 november 2020 10:15
Het is gebaseerd op chromium. Als ze daar die fix doorvoeren, zal deze ook in edge chromium komen.

Ik geloof wel dat MS iets langzamer released Google
IJsbeer
@Anoniem: 847663 november 2020 11:20
Edge maakt gebruik van de Chakra Javascript Engine en dus niet van V8, dus dit zit alleen in Chrome (en afgeleiden)
Jimbolino
@IJsbeer3 november 2020 12:20
De nieuwe edge niet meer:
As you may have heard Microsoft Edge no longer uses Chakra. Microsoft will continue to provide security updates for Chakracore 1.11 until 9th March 2021 but do not intend to support it after that.
https://github.com/microsoft/chakracore
NanoSector
@elmuerte3 november 2020 09:25
Ik ben dit even nagelopen met iemand die in de security branch zit. Google claimed dat deze CVE pas op 29/10 aan ze gemeld is volgens de changelog, wat dus neer zou komen op 5 dagen zonder disclosure. Mitre geeft aan dat deze CVE inderdaad op 27/07 gemaakt is, maar;
Disclaimer: The entry creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
Dus het kan zijn dat dit slechts een allocatie is en nog niet een gemelde CVE (waarom, geen idee). Zelf ben ik ook geneigd om deze eerdere datum aan te houden, maar als wat Google zegt waar is dan zitten ze nog onder de 7 dagen zelfs.

[Reactie gewijzigd door NanoSector op 3 november 2020 09:25]

Vexxon
@josttie3 november 2020 08:11
Beetje, het is behoorlijk hypocriet.
Dat hele projectX is alleen bedacht om concurrenten zwart te maken.
scartissue
@josttie3 november 2020 08:13
Ja, dat google ooit de slogan "Do no evil" voerde is tegenwoordig niet meer te bedenken...
_Pussycat_
@josttie3 november 2020 08:29
De details zullen komen nadat de patch is uitgerold. Ik kon niet met zekerheid vinden wanneer deze exploit gevonden was maar het lijkt erop dat het 30 oktober was, wat binnen een week was.

Ik geloof desalniettemin dat Project 0 met concurrenten strenger omgaat om ze zo een beetje zwart te maken, maar dat valt ook te begrijpen. Google vindt de fouten in Windows voor MS én geeft ze een kans het te fixen. Als dat dan nog steeds niet lukt, dan zal de vrijwillige dienstverlening ergens ophouden. Het staat de concurrentie vrij hun eigen fouten te vinden en te fixen binnen een zelfgekozen tijdschema.
n4m3l355
@josttie3 november 2020 09:34
Jij weet toch net zo goed als ik dat het hier twee verschillende situaties zijn. Bij MS was deze zero day geruime tijd bekend en ondernam MS geen actie dus zette Google de beschikbare informatie publiekelijk. Omgekeerd Google weet van zichzelf dat er een aantal kwetsbaarheden zijn en lost deze keurig op zoals het hoort. Ik snap dat we graag Google afzeiken, maar laten we als Tweakers wel een beetje de realiteit onder de gelederen houden.

Verder geeft het ook nog hun [changelog](https://chromium.googleso...183?pretty=fuller&n=10000) waar de nodige informatie te vinden is.

[Reactie gewijzigd door n4m3l355 op 3 november 2020 09:38]

BezurK
3 november 2020 09:12
Druppelt zo'n fix/patch dan "automatisch" door naar b.v. Node.JS?
Gamebuster
@BezurK3 november 2020 09:35
Als het goed is wel. Node 10, 12 en 14 krijgen op dit moment nog security updates.

Je kan hiervoor de releases/LTS schema van nodejs raadplegen. Iedere NodeJS LTS versie (even getallen - 10, 12, en 14 dus) heeft 30 maanden “critical bugfixes”.

[Reactie gewijzigd door Gamebuster op 3 november 2020 09:36]

vectormatic
3 november 2020 08:51
Hmm, misschien toch eens tijd om mijn oude chromebook echt weg te doen dan... best zonde, want hij werkt nog prima, maar als er geen updates meer uitkomen en er zitten ongepatchde zero days in...
FreakzLM
@vectormatic3 november 2020 09:49
Ik zou je niet zo druk maken. Niet elke laptop is interessant om te hacken/overnemen, behalve als je een bekend persoon bent of specifiek doelwit bent.
berchtold
@FreakzLM3 november 2020 09:57
Daar vergissen mensen zich nog wel eens in, dus ik zeg het maar. Iedereen kan een target zijn. Hoef je echt geen bekendheid voor te zijn. Maarja, je hebt natuurlijk niks te verbergen toch?

[Reactie gewijzigd door berchtold op 3 november 2020 11:48]

dafallrapper
@berchtold3 november 2020 10:37
Helemaal mee eens, over het algemeen zijn er 2 type inbrekers:

1. De inbreker die gaat voor het makkelijke target en heeft geen idee wat er te halen valt.
2. De inbreker die gaat voor het specifieke target en heeft wel een idee wat er te halen valt.

Het eerste type is een bedreiging voor iedereen die gebruik maakt van hard- en software met beveiligingsfouten.

[Reactie gewijzigd door dafallrapper op 3 november 2020 10:38]

vectormatic
@FreakzLM3 november 2020 09:54
Oh ik maak me ook niet druk om een gerichte aanval, en er gebeurt ook niks echt spannends op (geen e-baking oid), maar zou het toch niet tof vinden als de google account van de kids gehacked wordt of zo.
hoi1234
@vectormatic3 november 2020 09:07
Volgens mij kun je op een Chromebook gewoon Linux installeren. 't is een ander OS natuurlijk, maar in het algemeen doe je niet heel veel op een Chromebook. Ik denk dat Linux dus prima geschikt is voor jouw doeleinden.

Inderdaad jammer. Maar omdat een Chromebook "connected" hoort te zijn, kun je niet zoals bijvoorbeeld bij win XP de computer nog offline gebruiken. Dat is dus weer een keerzijde van het "always connected" principe.
vectormatic
@hoi12343 november 2020 09:17
Klopt, ik heb er voor eigen gebruik ook jaren lang een chromebook specific linux distro (Gallium) op gedraaid, en dat werkte voor mij prima, alleen nu ben ik zelf op een nieuwe laptop overgestapt en wou ik de chromebook voor de kids gebruiken, en dan is het wel erg fijn als alles heeeeel erg simpel is.

Ergens mag je niet klagen, want ik heb er €280 voor betaald, en heb em ruim 5 jaar gebruikt als ultra portable machine, maar het is toch wel zonde om een ding wat t nog doet weg te moeten gooien..
hoi1234
@vectormatic3 november 2020 09:30
Voor 300 euro mag je inderdaad niet zeuren. Je mag blij zijn als een dergelijk goedkope laptop niet al onbruikbaar traag is na 2 jaar. ChromeOS helpt daar natuurlijk ontzettend bij.

Ik krijg niet de indruk dat je wilt tweaken, maar misschien kun je er nog iets van kodi opzetten? Als je kleine kinderen hebt, is de interface denk ik ook voor hen goed te begrijpen. Kunnen ze een filmpje op YouTube kijken en volgens mij kun je via een omweg zelfs Netflix gebruiken.

Als je kinderen nog geen tablet hebben, is z'n Medialaptop prima tijdverdrijf in de auto of zo.
vectormatic
@hoi12343 november 2020 09:53
Nee, ik heb genoeg aan het ding getweaked, ik had em juist terug naar ChromeOS gemigreerd nadat ik een nieuwe laptop had.

Misschien als ik binnenkort nog eens een dood moment heb dat ik kijk wat ik er op kan gooien, maar alles behalve chromeOs is toch sowieso al minder gebruiksvriendelijk omdat je bij een cold boot zo'n "chrome OS not detected" error scherm door moet.
joco
3 november 2020 09:43
Weet iemand ook hoe je Edge (chromium) kunt relateren aan de build nr die chromium vast houdt?

bv Edge zit nu op 86.0.622.61 maar chromium patched dit dus in 86.0.4240.183
Anoniem: 1463186
@joco3 november 2020 10:32
Volgens mij kun je daar niet zo veel nuttige informatie uit halen. De versie die Chrome gebruikt is die van de Chromium source, maar Edge gebruikt voor zover ik weet een eigen versienummering. Het eerste getal wat ze overnemen is de versie van de Blink engine, dat is waarom ze allebei versie 86 zijn, maar daarbuiten kun je er naar mijn weten niet zo veel uit halen.
Amiga3000
3 november 2020 08:43
Google meet met 2 maten :(
WTBram
3 november 2020 08:55
Ik heb hele andere associaties met een V8-engine. :P
(Vroeg me al af wat Chrome met auto's te maken had, of Google Auto..?)
eborn
3 november 2020 09:08
Ik heb sinds de update vanochtend opeens een enorm hoog CPU verbruik. Er is 1 proces wat gemiddeld 30-35% van de CPU gebruikt. Het lijkt er op alsof dit te maken heeft met LastPass. Ik heb de extensies 1-voor-1 aangezet en bij LastPass schiet hij door het dak. Geen idee of het aan de extensie ligt of iets in mijn profiel, maar irritant is het wel. Ik kan er ook nog niets over vinden online.
Rudie_V
3 november 2020 11:09
Nu kunnen alle mensen die kritisch waren over de zero-days in firefox en toen waren overgestapt naar chrome weer terug naar firefox. :+ ;)
zvbhvb
3 november 2020 11:38
Noscript addon loont toch wel :+
Fijinees
3 november 2020 11:39
Laat iedereen de afkeer van Google maar blijken, wellicht op meerdere plaatsen. Dan gaan de bots misschien zien hoe vervelend het bedrijf is geworden.

Ik heb ze er inmiddels zo veel mogelijk uit gegooid

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee