Google dicht tiende zerodaylek in Chrome in 2021

Google heeft met updates voor Chrome twee nieuw aangetroffen zerodaykwetsbaarheden in zijn browser gedicht. De kwetsbaarheden werden in de praktijk misbruikt. Het totale aantal zerodaykwetsbaarheden in Chrome voor dit jaar komt daarmee op tien.

De update brengt Chrome naar versie 93.0.4577.82 op Windows, Mac-systemen en Linux. Gebruikers kunnen de nieuwe versies in de komende dagen en weken tegemoetzien. In totaal verhelpt Google elf beveiligingsproblemen, waaronder de twee zerodaykwetsbaarheden, die de aanduidingen CVE-2021-30632 en CVE-2021-30633 hebben gekregen.

Google meldt bekend te zijn met het bestaan van exploits die in de praktijk misbruik maken van de zerodaykwetsbaarheden. CVE-2021-30632 betreft een out-of-bounds write-kwetsbaarheid in V8, de JavaScript-engine van Chrome. CVE-2021-30633 is een zogenoemde use-after-free-fout in de Indexed DB-api. Beide bugs maken het uitvoeren van code op kwetsbare systemen onder bepaalde omstandigheden mogelijk. Het gaat om de negende en tiende zerodaykwetsbaarheid die Google in 2021 gedicht heeft.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 14-09-2021 12:0629

14-09-2021 • 12:06

29 Linkedin

Lees meer

Bug in pkexec maakt privilege escalation op meeste Linux-distro's mogelijk Nieuws van 26 januari 2022
Google brengt Chrome-update uit die actief misbruikt lek in V8-engine oplost Nieuws van 14 december 2021
Google Chrome voor Android krijgt functie om RSS-feeds te volgen Nieuws van 9 oktober 2021
Google dicht voor derde keer in maand tijd actief misbruikte lekken in Chrome Nieuws van 1 oktober 2021
Chrome-api die computeractiviteit gebruikers monitort stuit op kritiek - update Nieuws van 23 september 2021
Kwetsbaarheid in Apache OpenOffice maakt uitvoeren code op afstand mogelijk Nieuws van 21 september 2021
Microsoft komt met fix voor zerodaykwetsbaarheid in Microsoft Office via Mshtml Nieuws van 15 september 2021
Beveiligingsonderzoekers vinden opnieuw groot lek in Microsoft Azure Nieuws van 15 september 2021
Google dicht zeroday-lek in Chrome dat actief misbruikt wordt Nieuws van 16 juli 2021
Google publiceert details over geavanceerde hack met vier zerodays Nieuws van 13 januari 2021
Google repareert opnieuw twee zerodays in Chrome Nieuws van 12 november 2020
Google patcht zeroday in V8-engine in Chrome Nieuws van 3 november 2020
Meer producten en artikelen
Beveiliging en antivirus Browsers Google Chrome

Reacties (29)

-Moderatie-faq
29
28
14
2
0
8
Wijzig sortering
McDeeJ
14 september 2021 13:10
In de hoop dat alle lekken in het geheugen ook een keer aangepakt kunnen worden.
Want oooooooooh ... open een keer zo'n vreselijke website als nu.nl / ad.nl / ieder willenkeurig radio station, of een andere website met een hoop reclame (meuk) adds en bij de "huis-tuin-en-keuken user" staat direct de cpu / mem 40% dan normaal. Dat zou ik toch wel aardig vinden.
gimbal
@McDeeJ14 september 2021 13:49
Geheugengebruik is geen lek, meestal is dat zelfs een bewuste keuze voor snelheid.
Iblies
@gimbal14 september 2021 14:26
In de regel zijn memory-leaks interpretatie verschillen waar niemand invulling aan kan geven terwijl het ongewenst gedrag is.

Je hebt een stukje software dat ineens een heel blok van je geheugen kan vasthouden en in bepaalde gevallen wordt dat of steeds meer of dat gaat helemaal niet weg terwijl je het programma hebt afgesloten al dan niet door te forceren.


Een uitstekende bron om te kijken hoe je vanuit daar nog andere mogelijke combinaties kunt vinden die ook ongewenst gedrag kunnen veroorzaken
en hopelijk invloed kunnen uitoefenen op je OS.
henk717
@gimbal14 september 2021 15:40
En dat zou ik zo ontzettend graag uit willen zetten, Chrome is nou eenmaal de standaard geworden en echt een gedrocht op de terminal servers. Heb wel het geheugen beheer zo aangepast dat chrome probeert tabs te suspenden als die in totaal meer dan 1GB geheugen gebruikt om het een beetje beheersbaar te houden maar het zou prettiger zijn als die veel minder geheugen op slokt en dan maar de pagina's ietsjes langzamer laad. Zou een stuk prettiger beheer zijn, en dan kunnen al die electron apps zoals Microsoft Teams er ook meteen van profiteren.
dj_ryow
@henk71714 september 2021 16:28
Ik heb weleens gelezen dat Chrome meer resources van het device vraagt en minder van de website/server, terwijl dat bij Firefox andersom is. Misschien dat iemand die er meer verstand heeft dat kan bevestigen of toelichten.
McDeeJ
@henk71714 september 2021 17:50
Juist, precies dat dus.

Hoe je dat ook interpreteerd, het is ontzettend vervelend.
Geheugengebruik is geen lek, neen, dat dan weer niet
Een bewuste keuze voor snelheid? dan moet deze wel in verhouding staan, tot de resources die je beschikbaar hebt natuurlijk en op een TS is deze verhouding volledig kwijt, ook met de best practices.
mikesmit
@McDeeJ14 september 2021 18:04
Mijn oplossing voor chrome’s geheugen gebruik was om deze gewoon te deïnstalleren.
hawke84
@mikesmit1 oktober 2021 13:27
Nods in Firefox
Username3457829
@McDeeJ14 september 2021 20:09
Dat heb ik wanneer ik Amazon bezoek ondanks dat ik ublock and nog wat andere addons heb. Heb echt het gevoel dat ze een coinminer gebruiken die niet gedetecteerd kan worden ofzo. Ik hoor binnen 10s m'n cpu fan gelijk op te spinnen naar 50% vanaf stilstand.

[Reactie gewijzigd door Username3457829 op 14 september 2021 20:10]

MichaelvD
14 september 2021 12:10
De update een kwartier geleden binnengekregen dus de uitrol is al van start.
AnonymousWP
@MichaelvD14 september 2021 12:16
De uitrol was gisteravond al gestart, want ik heb gisteravond de update al binnengehengeld. Daarom is de blogpost ook gepubliceerd op 13 september.

[Reactie gewijzigd door AnonymousWP op 14 september 2021 12:17]

MichaelvD
@AnonymousWP14 september 2021 12:20
Ah zover heb ik niet geklikt :P Maar sowieso een aanrader voor iedereen om deze update zsm. handmatig binnen te halen.
AnonymousWP
@MichaelvD14 september 2021 12:27
Yep. Voor de lezers, dat kan door het volgende te doen:
  1. 3 bolletjes rechtsboven
  2. Help
  3. Over Google Chrome
SED
14 september 2021 16:27
Mooi voorbeeld hoe marktpenetratie direct gevolgen heeft voor de security.
Blijft dus ook belangrijk dat er meerdere browsers actief ontwikkeld blijven.
En liefst niet allemaal gebaseerd op dezelfde engine.
Risce
14 september 2021 13:18
Een 'zerodaylek' verwijst naar het feit dat de patch nog niet beschikbaar is. Wat dat betreft zijn letterlijke alle security vulnerabilities 'zero days' dus een nogal vreemde kop. Je gaat er immers vanuit dat zodra een vulnerability bekend is, er snel een patch volgt.
AnonymousWP
@Risce14 september 2021 13:28
Niet per se, het verwijst naar het feit dat ontwikkelaars / de menigte nog niet op de hoogte zijn/was van het lek. Een onbekend lek dus.
gimbal
@Risce14 september 2021 13:51
Je beredenering is niet logisch. Als ALLE security vulnerabilities zero days zouden zijn... waarom bestaat de term zero day dan?
CivLord
@Risce14 september 2021 14:16
Een Zero-day is een lek/ vulnerability die actief misbruikt wordt op het moment dat de ontwikkelaar het ontdekt of ervan op de hoogte wordt gebracht.
tdlaccount
14 september 2021 12:17
Wat offtopic,

Ik gebruik Brave als browser. Ik weet niet welke engine ze gebruiken. Maar stel het gebruikt chromium. Betekend dat dit automatisch door brave gepusht wordt door Google?

Of moet brave hier zelf alsnog naar kijken en dan pas pushen?

[Reactie gewijzigd door tdlaccount op 14 september 2021 12:34]

kiddingguy
@tdlaccount14 september 2021 12:29
Brave wordt ook automatisch gedaan. En je kunt het -ook- handmatig uitvoeren.
Versie die ik heb is: Version 1.29.80 Chromium: 93.0.4577.63 (Official Build) (64-bit)

Niet de .82 vanuit Google Chrome...
Christoxz
@kiddingguy14 september 2021 12:44
Denk ook dat Brave niet automatisch Chromium update pusht naar de eind gebruikers.
Lijkt mij dat ze dit eerst even inzien en intern testen. Anders zou dat ook betekenen dat Google direct invloed kan uitoefenen...
Ventieldopje
@Christoxz14 september 2021 13:20
Chromium is ook helemaal geen los component wat je zo kan updaten maar is onderdeel van de code van de browser. De ontwikkelaar zelf moet dus aangeven welke versie te gebruiken van Chromium en opnieuw compilen en distributeren van de update.

Wil niet zeggen dat dit niet automatisch kán of gebeurt, bedoel met een beetje CI pijplijn kun je dit automatiseren. Dit betekend niet dat "Google direct invloed kan uitoefenen" want de CI pijplijn is van de ontwikkelaar zelf. Die kunnen doen wat ze willen.

[Reactie gewijzigd door Ventieldopje op 14 september 2021 13:21]

Christoxz
@Ventieldopje14 september 2021 13:44
bedoel met een beetje CI pijplijn kun je dit automatiseren. Dit betekend niet dat "Google direct invloed kan uitoefenen" want de CI pijplijn is van de ontwikkelaar zelf. Die kunnen doen wat ze willen.
Dus als ze dit wel automatiseren en direct releasen, zouden ze wel 'direct' invloed hebben.
Ventieldopje
@Christoxz14 september 2021 13:47
Dan ben je wel heel dom als je direct released, yikes!

Feit blijft dat de CI in handen is van de ontwikkelaar en Google hier geen invloed op heeft.

[Reactie gewijzigd door Ventieldopje op 14 september 2021 13:50]

Room42
@tdlaccount14 september 2021 14:06
Brave is inderdaad gebaseerd op Chromium en moet zelf de patches toepassen. Dat doet Google niet voor ze. Dat kan ook niet.

Overigens heb ik deze CVE's niet bestudeerd (want voor mij niet van toepassing) maar het kan ook zijn dat ze Chrome-only zijn door iets wat closed source van Google is.

[Reactie gewijzigd door Room42 op 14 september 2021 14:07]

Jerie
@Room4214 september 2021 14:36
Overigens heb ik deze CVE's niet bestudeerd (want voor mij niet van toepassing)
Hoe weet je dat zeker dat ze bij jou niet van toepassing zijn? Ik weet bijvoorbeeld niet of deze bugs ook in Node zitten of in Electron of in Edge of in Vivaldi of in Android System WebView of in in ...

Dat ze niet in Firefox zitten (mijn standaard browser), jippie. Maar ik gebruik wel degelijk bovenstaande. Alleen niet als standaard browser...
maar het kan ook zijn dat ze Chrome-only zijn door iets wat closed source van Google is.
Dat kunnen we eenvoudig controleren:
CVE-2021-30632 betreft een out-of-bounds write-kwetsbaarheid in V8, de JavaScript-engine van Chrome.
V8 is FOSS.
CVE-2021-30633 is een zogenoemde use-after-free-fout in de Indexed DB-api.
Weet ik zo snel niet maar ik kwam met DDG eerste hit dit tegen: https://security.archlinux.org/CVE-2021-30633 daar staan Vivaldi en Brave als vulnerable. Die twee staan trouwens ook in de advisory van Arch van de bug in V8.
Room42
@Jerie14 september 2021 15:13
Potverdorie je hebt gelijk :( Ik gebruik VSCode en Spotify, beiden volgens mij op Electron gebouwd. Scherp van je, bedankt voor de eye opener.
Jerie
@Room4215 september 2021 12:24
Er is net een nieuwe versie uitgekomen van MS VS(Code). Of die het probleem verhelpt, weet ik niet. Volgens mij zag ik er niets over in de changelog staan.

downloads: Microsoft Visual Studio Code 1.60.1
downloads: Microsoft Visual Studio 2019 16.11.3

In de tweede staat een security advisory/fix, maar is voor een andere bug.

Overigens gebruikt Spotify op Android geen Electron. Bestond toen nog niet eens. Van Spotify kan ik verder ook geen changelog vinden. Die in de Play Store zijn vaak maar vaagjes.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee