Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Google patcht zeroday in V8-engine in Chrome

Google heeft voor de tweede keer in korte tijd een patch uitgebracht voor een zeroday in Chrome. In een nieuwe beveiligingsupdate repareert het bedrijf tien kwetsbaarheden, waarvan er een actief werd uitgebuit.

Google heeft versie 86.0.4240.183 van Chrome uitgebracht. In de changelog staat dat het bedrijf in totaal tien fixes heeft doorgevoerd voor kwetsbaarheden. Vier daarvan werden door externe beveiligingsonderzoekers aangedragen. Het gaat onder andere om een use after free-bug en een manier om policies te omzeilen in Angle. Zeven van de tien bugs hebben de classificatie Hoog risico gekregen.

Volgens Google wordt een van de kwetsbaarheden actief misbruikt. Het gaat om CVE-2020-16009, maar Google geeft daar verder geen details over. In de blogpost schrijft Google alleen dat het om een 'inappropriate implementation in V8' gaat. V8 is de JavaScript-engine in Chrome. Verder is niet bekend in welke mate de bug werd uitgebuit en door wie, of voor welk doel.

Het is de tweede keer in korte tijd dat Google een zeroday in Chrome patcht. Eerder in oktober patchte het bedrijf CVE-2020-15999, een bug in de font-library in de browser. Ook maakte Google vorige week een bug openbaar in Chrome voor Windows die actief werd uitgebuit, maar die pas op 10 november tijdens Microsofts Patch Tuesday wordt gerepareerd.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

03-11-2020 • 08:03

37 Linkedin

Reacties (37)

Wijzig sortering
Dus voor bugs die in Windows gevonden worden, worden alle details op het internet gegooid inclusief een kant en klare proof of concept van een aanval, maar over hun eigen producten geven ze geen details. Dat vind ik een beetje hypocriet.
CVE-2020-16009 is gemaakt op 2020-07-27, dat is 98 dagen geleden. Google's Project Zero geeft 90 dagen de tijd.
Microsoft kreeg 7 dagen omdat het actief misbruikt werd, net als deze...
Allleen is 98 dagen dus wel langer dan 90, dus volgens hun eigen richtlijnen hadden ze de details bekend moeten maken. Wat dus niet gebeurd is.

Daarnaast, recent kreeg Microsoft maar 7 dagen, ipv 90 dagen.

Google meet hier duidelijk met twee maten, op zijn allerminst. Dit geeft een hele verkeerde smaak op deze manier.
Het is meer en meer een soort marketing instrument op deze manier
Die 7 dagen was omdat dat lek al actief misbruikt werd:

nieuws: Google publiceert details van Windows-zeroday die actief misbruikt wordt
Google stelt dat het Microsoft zeven dagen de tijd heeft gegeven om deze kwetsbaarheid te verhelpen. De deadline zou zo kort zijn wegens de tekenen dat hij al in het wild gebruikt wordt.
Het heeft heel weinig zin om iets geheim te houden voor een potentieel doelwit terwijl de "bad guys" het geheim al kennen, nietwaar?
Zocht iemand nog een voorbeeld een paar dagen geleden toen Google eventjes alle details blootlegde van een exploit van Microsoft. Het komt gewoon uit de lucht vallen.

Waarom springt de actief misbruikt regel van 7 dagen niet in werking?
Waarom springt de openbaring na 90 dagen regel niet in werking?

Oja, want het gaat nu over Google zelf. ProjectX is overduidelijk een project om de concurrentie zwart te maken.
De bugs zijn niet gevonden door project zero
Nou en?

Het zou Google sieren om elke exploit gelijk te behandelen. Maakt niet uit of ze het zelf vinden, aan hun gereport wordt, of het hun eigen software is...

Je kunt niet van anderen eisen juist te handelen, als je zelf niet het goede voorbeeld geeft.
Aan de andere kant is IE Edge nu gebaseerd op Chrome en heeft dus ook deze kwetsbaarheid neem ik aan. Als ze nu alle details geven, dan is dat ook zeer negatief voor Microsoft.
Het is gebaseerd op chromium. Als ze daar die fix doorvoeren, zal deze ook in edge chromium komen.

Ik geloof wel dat MS iets langzamer released Google
Edge maakt gebruik van de Chakra Javascript Engine en dus niet van V8, dus dit zit alleen in Chrome (en afgeleiden)
De nieuwe edge niet meer:
As you may have heard Microsoft Edge no longer uses Chakra. Microsoft will continue to provide security updates for Chakracore 1.11 until 9th March 2021 but do not intend to support it after that.
https://github.com/microsoft/chakracore
Ik ben dit even nagelopen met iemand die in de security branch zit. Google claimed dat deze CVE pas op 29/10 aan ze gemeld is volgens de changelog, wat dus neer zou komen op 5 dagen zonder disclosure. Mitre geeft aan dat deze CVE inderdaad op 27/07 gemaakt is, maar;
Disclaimer: The entry creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
Dus het kan zijn dat dit slechts een allocatie is en nog niet een gemelde CVE (waarom, geen idee). Zelf ben ik ook geneigd om deze eerdere datum aan te houden, maar als wat Google zegt waar is dan zitten ze nog onder de 7 dagen zelfs.

[Reactie gewijzigd door NanoSector op 3 november 2020 09:25]

Beetje, het is behoorlijk hypocriet.
Dat hele projectX is alleen bedacht om concurrenten zwart te maken.
Ja, dat google ooit de slogan "Do no evil" voerde is tegenwoordig niet meer te bedenken...
De details zullen komen nadat de patch is uitgerold. Ik kon niet met zekerheid vinden wanneer deze exploit gevonden was maar het lijkt erop dat het 30 oktober was, wat binnen een week was.

Ik geloof desalniettemin dat Project 0 met concurrenten strenger omgaat om ze zo een beetje zwart te maken, maar dat valt ook te begrijpen. Google vindt de fouten in Windows voor MS én geeft ze een kans het te fixen. Als dat dan nog steeds niet lukt, dan zal de vrijwillige dienstverlening ergens ophouden. Het staat de concurrentie vrij hun eigen fouten te vinden en te fixen binnen een zelfgekozen tijdschema.
Jij weet toch net zo goed als ik dat het hier twee verschillende situaties zijn. Bij MS was deze zero day geruime tijd bekend en ondernam MS geen actie dus zette Google de beschikbare informatie publiekelijk. Omgekeerd Google weet van zichzelf dat er een aantal kwetsbaarheden zijn en lost deze keurig op zoals het hoort. Ik snap dat we graag Google afzeiken, maar laten we als Tweakers wel een beetje de realiteit onder de gelederen houden.

Verder geeft het ook nog hun [changelog](https://chromium.googleso...183?pretty=fuller&n=10000) waar de nodige informatie te vinden is.

[Reactie gewijzigd door n4m3l355 op 3 november 2020 09:38]

Druppelt zo'n fix/patch dan "automatisch" door naar b.v. Node.JS?
Als het goed is wel. Node 10, 12 en 14 krijgen op dit moment nog security updates.

Je kan hiervoor de releases/LTS schema van nodejs raadplegen. Iedere NodeJS LTS versie (even getallen - 10, 12, en 14 dus) heeft 30 maanden “critical bugfixes”.

[Reactie gewijzigd door Gamebuster op 3 november 2020 09:36]

Hmm, misschien toch eens tijd om mijn oude chromebook echt weg te doen dan... best zonde, want hij werkt nog prima, maar als er geen updates meer uitkomen en er zitten ongepatchde zero days in...
Ik zou je niet zo druk maken. Niet elke laptop is interessant om te hacken/overnemen, behalve als je een bekend persoon bent of specifiek doelwit bent.
Daar vergissen mensen zich nog wel eens in, dus ik zeg het maar. Iedereen kan een target zijn. Hoef je echt geen bekendheid voor te zijn. Maarja, je hebt natuurlijk niks te verbergen toch?

[Reactie gewijzigd door berchtold op 3 november 2020 11:48]

Helemaal mee eens, over het algemeen zijn er 2 type inbrekers:

1. De inbreker die gaat voor het makkelijke target en heeft geen idee wat er te halen valt.
2. De inbreker die gaat voor het specifieke target en heeft wel een idee wat er te halen valt.

Het eerste type is een bedreiging voor iedereen die gebruik maakt van hard- en software met beveiligingsfouten.

[Reactie gewijzigd door dafallrapper op 3 november 2020 10:38]

Oh ik maak me ook niet druk om een gerichte aanval, en er gebeurt ook niks echt spannends op (geen e-baking oid), maar zou het toch niet tof vinden als de google account van de kids gehacked wordt of zo.
Volgens mij kun je op een Chromebook gewoon Linux installeren. 't is een ander OS natuurlijk, maar in het algemeen doe je niet heel veel op een Chromebook. Ik denk dat Linux dus prima geschikt is voor jouw doeleinden.

Inderdaad jammer. Maar omdat een Chromebook "connected" hoort te zijn, kun je niet zoals bijvoorbeeld bij win XP de computer nog offline gebruiken. Dat is dus weer een keerzijde van het "always connected" principe.
Klopt, ik heb er voor eigen gebruik ook jaren lang een chromebook specific linux distro (Gallium) op gedraaid, en dat werkte voor mij prima, alleen nu ben ik zelf op een nieuwe laptop overgestapt en wou ik de chromebook voor de kids gebruiken, en dan is het wel erg fijn als alles heeeeel erg simpel is.

Ergens mag je niet klagen, want ik heb er €280 voor betaald, en heb em ruim 5 jaar gebruikt als ultra portable machine, maar het is toch wel zonde om een ding wat t nog doet weg te moeten gooien..
Voor 300 euro mag je inderdaad niet zeuren. Je mag blij zijn als een dergelijk goedkope laptop niet al onbruikbaar traag is na 2 jaar. ChromeOS helpt daar natuurlijk ontzettend bij.

Ik krijg niet de indruk dat je wilt tweaken, maar misschien kun je er nog iets van kodi opzetten? Als je kleine kinderen hebt, is de interface denk ik ook voor hen goed te begrijpen. Kunnen ze een filmpje op YouTube kijken en volgens mij kun je via een omweg zelfs Netflix gebruiken.

Als je kinderen nog geen tablet hebben, is z'n Medialaptop prima tijdverdrijf in de auto of zo.
Nee, ik heb genoeg aan het ding getweaked, ik had em juist terug naar ChromeOS gemigreerd nadat ik een nieuwe laptop had.

Misschien als ik binnenkort nog eens een dood moment heb dat ik kijk wat ik er op kan gooien, maar alles behalve chromeOs is toch sowieso al minder gebruiksvriendelijk omdat je bij een cold boot zo'n "chrome OS not detected" error scherm door moet.
Weet iemand ook hoe je Edge (chromium) kunt relateren aan de build nr die chromium vast houdt?

bv Edge zit nu op 86.0.622.61 maar chromium patched dit dus in 86.0.4240.183
+1Anoniem: 1463186
@joco3 november 2020 10:32
Volgens mij kun je daar niet zo veel nuttige informatie uit halen. De versie die Chrome gebruikt is die van de Chromium source, maar Edge gebruikt voor zover ik weet een eigen versienummering. Het eerste getal wat ze overnemen is de versie van de Blink engine, dat is waarom ze allebei versie 86 zijn, maar daarbuiten kun je er naar mijn weten niet zo veel uit halen.
Google meet met 2 maten :(
Ik heb hele andere associaties met een V8-engine. :P
(Vroeg me al af wat Chrome met auto's te maken had, of Google Auto..?)
Ik heb sinds de update vanochtend opeens een enorm hoog CPU verbruik. Er is 1 proces wat gemiddeld 30-35% van de CPU gebruikt. Het lijkt er op alsof dit te maken heeft met LastPass. Ik heb de extensies 1-voor-1 aangezet en bij LastPass schiet hij door het dak. Geen idee of het aan de extensie ligt of iets in mijn profiel, maar irritant is het wel. Ik kan er ook nog niets over vinden online.
Nu kunnen alle mensen die kritisch waren over de zero-days in firefox en toen waren overgestapt naar chrome weer terug naar firefox. :+ ;)
Noscript addon loont toch wel :+
Laat iedereen de afkeer van Google maar blijken, wellicht op meerdere plaatsen. Dan gaan de bots misschien zien hoe vervelend het bedrijf is geworden.

Ik heb ze er inmiddels zo veel mogelijk uit gegooid

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True