Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Google dicht zeroday-lek in Chrome dat actief misbruikt wordt

Google heeft zijn Chrome-browser bijgewerkt met patches voor acht kwetsbaarheden waaronder een ernstige zeroday-kwetsbaarheid die actief misbruikt wordt door criminelen. De kwetsbaarheid zit in de JavaScript-engine.

Google heeft Chrome bijgewerkt naar versie 91.0.4472.164 om de kwetsbaarheden te verhelpen. Het gaat om de browser voor Windows, Mac en Linux, die automatisch wordt bijgewerkt na een herstart van de browser.

Het gaat om acht kwetsbaarheden, waarvan de ernst van zeven als hoog bestempeld worden en die van de resterende als medium. Drie betreffen de V8-engine voor het renderen van JavaScript en WebAssembly en de ernstigste is de 12 juli ontdekte CVE-2021-30563, aangezien deze volgens Google actief misbruikt wordt.

Het gaat om een Type Confusion-kwetsbaarheid maar meer details geeft het bedrijf nog niet. Wel heeft Sergei Glazunov van Google Project Zero een maand eerder zelf ook een Type Confusion-kwetsbaarheid in Chrome ontdekt, waarbij het om een ander lek gaat. Zodra een meerderheid van gebruikers zijn browser heeft bijgewerkt, maakt Google meer details bekend, zo belooft het bedrijf.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

16-07-2021 • 10:27

20 Linkedin

Reacties (20)

Wijzig sortering
Ik vraag me af of het lek in Chrome zit, of in Chromium. Want als het in dat laatste zit dan hebben veel meer browsers hier eventueel last van gezien dat als basis wordt gebruikt voor vele andere (zoals de nieuwe Edge, Brave, etc, etc, etc).
Nou word ik niet gehinderd door enige kennis van zaken hieromtrent, maar kan het niet zijn dat andere browsers de JS-engine op een andere manier gebruiken/aanroepen waardoor deze browsers niet of minder vatbaar zijn?
Waarschijnlijk niet, veel browsers zijn niet veel meer dan een schil om Chromium en V8 (de JS engine).
Met uitzondering van Firefox
En Safari, sort of.
Is dat zo? Kan je het zo zien?
Is het niet zo dat ze (alleen/voornamelijk) de browser engine gebruiken?

Daar zijn zo ver ik weet op het moment 5 van die nog ontwikkeld worden:

Blink (van Google - Chrome/Chromium en Opera)
Gecko (van Mozilla - Firefox)
Goanna (van...?? - Pale Moon / Basilisk)
Webkit (van Apple - Safari)

En je hebt nog iets van Flow Browser, die z'n eigen engine heeft geschreven (uit m'n hoofd Flow engine). Als het goed is wordt die voornamelijk voor Embedded zaken gebruikt.
Is dat zo? Kan je het zo zien?
Waarschijnlijk wel, en als je de sourcecode kan inzien (waarschijnlijk wel). De browser engine is een beetje een koepelterm geworden. Als je kaal Chromium download kan je ook JS uitvoeren.
Zal ongetwijfeld Chromium zijn, dit is de bug report (krijg echter een permission denied): https://bugs.chromium.org.../issues/detail?id=1228407
Als het in het Js engine zat, zit het in Chromium, dus in andere browsers ook.
Ook in Chrome voor Android b.v.?
nee, die weer niet. Er worden expliciet desktop-os-en genoemd.
Ok wel fijn dan, als Chrome in Android veilig is.
Het probleem zat in de V8 javascript engine. Edge gebruikt ook V8, en ik kan me niet voorstellen dat Brave een eigen javascript engine heeft.

[Reactie gewijzigd door cnieuweboer op 16 juli 2021 11:13]

En zit deze kwetsbaarheid dan ook in Node? Want die draait toch ook op V8?
Node draait normaal geen onbekende code, dus zal het minder ernstig zijn.
Voor edge komt ook zojuist een update binnen. 91.0.864.70, is nog geen changelog van of security melding van. 91.0.864.67 was van 8 juli.

[Reactie gewijzigd door Jelmer op 16 juli 2021 11:15]

Ik wilde typen dat ik nog geen update had, maar toen ik op About klikte begon hij te draaien :) .164 draait op de m1 macbook versie.
Zal de mobiele chrome app ook deze zeroday bevatten? Volgens de Google developer pagina van chrome zijn de mobiele app en de desktop gebaseerd op dezelfde bron. Zie :
https://developer.chrome.com/docs/multidevice/faq/

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True