Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Google dicht tiende zerodaylek in Chrome in 2021

Google heeft met updates voor Chrome twee nieuw aangetroffen zerodaykwetsbaarheden in zijn browser gedicht. De kwetsbaarheden werden in de praktijk misbruikt. Het totale aantal zerodaykwetsbaarheden in Chrome voor dit jaar komt daarmee op tien.

De update brengt Chrome naar versie 93.0.4577.82 op Windows, Mac-systemen en Linux. Gebruikers kunnen de nieuwe versies in de komende dagen en weken tegemoetzien. In totaal verhelpt Google elf beveiligingsproblemen, waaronder de twee zerodaykwetsbaarheden, die de aanduidingen CVE-2021-30632 en CVE-2021-30633 hebben gekregen.

Google meldt bekend te zijn met het bestaan van exploits die in de praktijk misbruik maken van de zerodaykwetsbaarheden. CVE-2021-30632 betreft een out-of-bounds write-kwetsbaarheid in V8, de JavaScript-engine van Chrome. CVE-2021-30633 is een zogenoemde use-after-free-fout in de Indexed DB-api. Beide bugs maken het uitvoeren van code op kwetsbare systemen onder bepaalde omstandigheden mogelijk. Het gaat om de negende en tiende zerodaykwetsbaarheid die Google in 2021 gedicht heeft.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

14-09-2021 • 12:06

28 Linkedin

Reacties (28)

Wijzig sortering
In de hoop dat alle lekken in het geheugen ook een keer aangepakt kunnen worden.
Want oooooooooh ... open een keer zo'n vreselijke website als nu.nl / ad.nl / ieder willenkeurig radio station, of een andere website met een hoop reclame (meuk) adds en bij de "huis-tuin-en-keuken user" staat direct de cpu / mem 40% dan normaal. Dat zou ik toch wel aardig vinden.
Reageer
Geheugengebruik is geen lek, meestal is dat zelfs een bewuste keuze voor snelheid.
Reageer
In de regel zijn memory-leaks interpretatie verschillen waar niemand invulling aan kan geven terwijl het ongewenst gedrag is.

Je hebt een stukje software dat ineens een heel blok van je geheugen kan vasthouden en in bepaalde gevallen wordt dat of steeds meer of dat gaat helemaal niet weg terwijl je het programma hebt afgesloten al dan niet door te forceren.


Een uitstekende bron om te kijken hoe je vanuit daar nog andere mogelijke combinaties kunt vinden die ook ongewenst gedrag kunnen veroorzaken
en hopelijk invloed kunnen uitoefenen op je OS.
Reageer
En dat zou ik zo ontzettend graag uit willen zetten, Chrome is nou eenmaal de standaard geworden en echt een gedrocht op de terminal servers. Heb wel het geheugen beheer zo aangepast dat chrome probeert tabs te suspenden als die in totaal meer dan 1GB geheugen gebruikt om het een beetje beheersbaar te houden maar het zou prettiger zijn als die veel minder geheugen op slokt en dan maar de pagina's ietsjes langzamer laad. Zou een stuk prettiger beheer zijn, en dan kunnen al die electron apps zoals Microsoft Teams er ook meteen van profiteren.
Reageer
Ik heb weleens gelezen dat Chrome meer resources van het device vraagt en minder van de website/server, terwijl dat bij Firefox andersom is. Misschien dat iemand die er meer verstand heeft dat kan bevestigen of toelichten.
Reageer
Juist, precies dat dus.

Hoe je dat ook interpreteerd, het is ontzettend vervelend.
Geheugengebruik is geen lek, neen, dat dan weer niet
Een bewuste keuze voor snelheid? dan moet deze wel in verhouding staan, tot de resources die je beschikbaar hebt natuurlijk en op een TS is deze verhouding volledig kwijt, ook met de best practices.
Reageer
Mijn oplossing voor chrome’s geheugen gebruik was om deze gewoon te deïnstalleren.
Reageer
Dat heb ik wanneer ik Amazon bezoek ondanks dat ik ublock and nog wat andere addons heb. Heb echt het gevoel dat ze een coinminer gebruiken die niet gedetecteerd kan worden ofzo. Ik hoor binnen 10s m'n cpu fan gelijk op te spinnen naar 50% vanaf stilstand.

[Reactie gewijzigd door Username3457829 op 14 september 2021 20:10]

Reageer
De update een kwartier geleden binnengekregen dus de uitrol is al van start.
Reageer
De uitrol was gisteravond al gestart, want ik heb gisteravond de update al binnengehengeld. Daarom is de blogpost ook gepubliceerd op 13 september.

[Reactie gewijzigd door AnonymousWP op 14 september 2021 12:17]

Reageer
Ah zover heb ik niet geklikt :P Maar sowieso een aanrader voor iedereen om deze update zsm. handmatig binnen te halen.
Reageer
Yep. Voor de lezers, dat kan door het volgende te doen:
  1. 3 bolletjes rechtsboven
  2. Help
  3. Over Google Chrome
Reageer
Mooi voorbeeld hoe marktpenetratie direct gevolgen heeft voor de security.
Blijft dus ook belangrijk dat er meerdere browsers actief ontwikkeld blijven.
En liefst niet allemaal gebaseerd op dezelfde engine.
Reageer
Een 'zerodaylek' verwijst naar het feit dat de patch nog niet beschikbaar is. Wat dat betreft zijn letterlijke alle security vulnerabilities 'zero days' dus een nogal vreemde kop. Je gaat er immers vanuit dat zodra een vulnerability bekend is, er snel een patch volgt.
Reageer
Niet per se, het verwijst naar het feit dat ontwikkelaars / de menigte nog niet op de hoogte zijn/was van het lek. Een onbekend lek dus.
Reageer
Je beredenering is niet logisch. Als ALLE security vulnerabilities zero days zouden zijn... waarom bestaat de term zero day dan?
Reageer
Een Zero-day is een lek/ vulnerability die actief misbruikt wordt op het moment dat de ontwikkelaar het ontdekt of ervan op de hoogte wordt gebracht.
Reageer
Wat offtopic,

Ik gebruik Brave als browser. Ik weet niet welke engine ze gebruiken. Maar stel het gebruikt chromium. Betekend dat dit automatisch door brave gepusht wordt door Google?

Of moet brave hier zelf alsnog naar kijken en dan pas pushen?

[Reactie gewijzigd door tdlaccount op 14 september 2021 12:34]

Reageer
Brave wordt ook automatisch gedaan. En je kunt het -ook- handmatig uitvoeren.
Versie die ik heb is: Version 1.29.80 Chromium: 93.0.4577.63 (Official Build) (64-bit)

Niet de .82 vanuit Google Chrome...
Reageer
Denk ook dat Brave niet automatisch Chromium update pusht naar de eind gebruikers.
Lijkt mij dat ze dit eerst even inzien en intern testen. Anders zou dat ook betekenen dat Google direct invloed kan uitoefenen...
Reageer
Chromium is ook helemaal geen los component wat je zo kan updaten maar is onderdeel van de code van de browser. De ontwikkelaar zelf moet dus aangeven welke versie te gebruiken van Chromium en opnieuw compilen en distributeren van de update.

Wil niet zeggen dat dit niet automatisch kán of gebeurt, bedoel met een beetje CI pijplijn kun je dit automatiseren. Dit betekend niet dat "Google direct invloed kan uitoefenen" want de CI pijplijn is van de ontwikkelaar zelf. Die kunnen doen wat ze willen.

[Reactie gewijzigd door Ventieldopje op 14 september 2021 13:21]

Reageer
bedoel met een beetje CI pijplijn kun je dit automatiseren. Dit betekend niet dat "Google direct invloed kan uitoefenen" want de CI pijplijn is van de ontwikkelaar zelf. Die kunnen doen wat ze willen.
Dus als ze dit wel automatiseren en direct releasen, zouden ze wel 'direct' invloed hebben.
Reageer
Dan ben je wel heel dom als je direct released, yikes!

Feit blijft dat de CI in handen is van de ontwikkelaar en Google hier geen invloed op heeft.

[Reactie gewijzigd door Ventieldopje op 14 september 2021 13:50]

Reageer
Brave is inderdaad gebaseerd op Chromium en moet zelf de patches toepassen. Dat doet Google niet voor ze. Dat kan ook niet.

Overigens heb ik deze CVE's niet bestudeerd (want voor mij niet van toepassing) maar het kan ook zijn dat ze Chrome-only zijn door iets wat closed source van Google is.

[Reactie gewijzigd door u34186 op 14 september 2021 14:07]

Reageer
Overigens heb ik deze CVE's niet bestudeerd (want voor mij niet van toepassing)
Hoe weet je dat zeker dat ze bij jou niet van toepassing zijn? Ik weet bijvoorbeeld niet of deze bugs ook in Node zitten of in Electron of in Edge of in Vivaldi of in Android System WebView of in in ...

Dat ze niet in Firefox zitten (mijn standaard browser), jippie. Maar ik gebruik wel degelijk bovenstaande. Alleen niet als standaard browser...
maar het kan ook zijn dat ze Chrome-only zijn door iets wat closed source van Google is.
Dat kunnen we eenvoudig controleren:
CVE-2021-30632 betreft een out-of-bounds write-kwetsbaarheid in V8, de JavaScript-engine van Chrome.
V8 is FOSS.
CVE-2021-30633 is een zogenoemde use-after-free-fout in de Indexed DB-api.
Weet ik zo snel niet maar ik kwam met DDG eerste hit dit tegen: https://security.archlinux.org/CVE-2021-30633 daar staan Vivaldi en Brave als vulnerable. Die twee staan trouwens ook in de advisory van Arch van de bug in V8.
Reageer
Potverdorie je hebt gelijk :( Ik gebruik VSCode en Spotify, beiden volgens mij op Electron gebouwd. Scherp van je, bedankt voor de eye opener.
Reageer
Er is net een nieuwe versie uitgekomen van MS VS(Code). Of die het probleem verhelpt, weet ik niet. Volgens mij zag ik er niets over in de changelog staan.

downloads: Microsoft Visual Studio Code 1.60.1
downloads: Microsoft Visual Studio 2019 16.11.3

In de tweede staat een security advisory/fix, maar is voor een andere bug.

Overigens gebruikt Spotify op Android geen Electron. Bestond toen nog niet eens. Van Spotify kan ik verder ook geen changelog vinden. Die in de Play Store zijn vaak maar vaagjes.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True