Google patcht actief misbruikte kwetsbaarheid in Chromes WebRTC-component

Google heeft een kwetsbaarheid in Chrome verholpen die actief werd misbruikt. De zeroday zat in de WebRTC-component. Het ging om een heap-based bufferoverflow die een paar dagen geleden werd ontdekt.

De kwetsbaarheid is geregistreerd als CVE-2022-2294. Details over de bug zijn nog niet bekend gemaakt. Google schrijft in een korte blogpost dat de bug op 1 juli werd ontdekt door securitybedrijf Avast. Het zou gaan om een heap-based bufferoverflow in de WebRTC-component die de classificatie 'High' krijgt. Met een heap-based bufferoverflow zijn verschillende soorten aanvallende acties mogelijk, van het crashen van programma's tot het uitvoeren van code. Wat er precies met deze bug werd gedaan, is niet bekend. Volgens Google werd de zeroday actief misbruikt, maar ook daarover ontbreken details.

De bug is gerepareerd in Chrome 103.0.5060.114 voor Windows en Chrome 103.0.5060.71 voor Android. Er worden in die versie ook twee andere kwetsbaarheden gerepareerd. Dat zijn CVE-2022-2295 en CVE-2022-2296. De eerste is een type confusion in de V8-engine van Chrome, de tweede is een use-after-freekwetsbaarheid in de shell van Chrome OS.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 05-07-2022 09:24
42 • submitter: TheVivaldi

05-07-2022 • 09:24

42

Submitter: TheVivaldi

Lees meer

Google repareert derde zeroday van 2023 in Chromium
Google repareert derde zeroday van 2023 in Chromium Nieuws van 6 juni 2023
Google verhelpt opnieuw zeroday in Chrome, tweede keer in week tijd
Google verhelpt opnieuw zeroday in Chrome, tweede keer in week tijd Nieuws van 19 april 2023
Google repareert bug in Pixel-telefoons die pukcode toegang geeft tot apparaat
Google repareert bug in Pixel-telefoons die pukcode toegang geeft tot apparaat Nieuws van 10 november 2022
Google patcht type confusion-bug in Chrome waarvoor exploit bestond
Google patcht type confusion-bug in Chrome waarvoor exploit bestond Nieuws van 29 oktober 2022
Google patcht elf kwetsbaarheden in Chrome waaronder zeroday met exploit
Google patcht elf kwetsbaarheden in Chrome waaronder zeroday met exploit Nieuws van 17 augustus 2022
Google test functie in Chrome die batterijduur van apparaten kan verlengen
Google test functie in Chrome die batterijduur van apparaten kan verlengen Nieuws van 9 juli 2022
Microsoft publiceert workaround voor zerodaylek in Support Diagnostic Tool
Microsoft publiceert workaround voor zerodaylek in Support Diagnostic Tool Nieuws van 31 mei 2022
Google ontdekte in 2021 recordaantal van 58 zerodays
Google ontdekte in 2021 recordaantal van 58 zerodays Nieuws van 20 april 2022
Microsoft repareert tijdens Patch Tuesday 119 bugs waarvan een misbruikte
Microsoft repareert tijdens Patch Tuesday 119 bugs waarvan een misbruikte Nieuws van 13 april 2022
Apple heeft twee zerodays in Big Sur en Catalina na week nog niet gerepareerd
Apple heeft twee zerodays in Big Sur en Catalina na week nog niet gerepareerd Nieuws van 6 april 2022
Chrome krijgt fix voor ernstige kwetsbaarheid die actief misbruikt wordt
Chrome krijgt fix voor ernstige kwetsbaarheid die actief misbruikt wordt Nieuws van 28 maart 2022
Mozilla fixt twee actief misbruikte kwetsbaarheden in Firefox met patch
Mozilla fixt twee actief misbruikte kwetsbaarheden in Firefox met patch Nieuws van 7 maart 2022
Google repareert actief misbruikte kwetsbaarheid in Chrome
Google repareert actief misbruikte kwetsbaarheid in Chrome Nieuws van 15 februari 2022
Meer producten en artikelen
Beveiliging en antivirus Google Chrome

Reacties (42)

-Moderatie-faq
42
42
23
2
0
14
Wijzig sortering
Tyrian 5 juli 2022 12:44
Geld deze fix ook voor de Android System Webview .apk?
Als ik in de playstore bij de changelog kijk dan zie ik alleen "Bug fixes and speedy performance improvements." staan, maar dat stond er twee jaar geleden ook al.
batjes
5 juli 2022 10:31
Nu Chrome al een tijdje marktleider is, ergens wel geinig om te zien hoe de "betere, snellere en veiligere" browser alternatief op Internet Explorer, dit jaar al de 4de zero day voor zijn kiezen heeft gekregen.

Internet Explorer kreeg veel haat, maar het was (in combinatie met EMET) lang niet zo'n gatenkaas als dat Chromium nu is. Gemiddeld ~1 a 2 zulke grote exploits per jaar en het eerste ~1,5 jaar na release 11 is het niemand gelukt de sandbox uit te breken.

Nu is een groot deel van de internet gebruikers afhankelijk van Chromium, die amper 2 maanden zonder serieuze actief misbruikte zero day kunnen. Brave, Edge, Opera, etc zijn nu net zo kwetsbaar.

Zelf spendeer ik sinds enkele jaren de meeste tijd in Firefox, the last of the Mohicans
Anonymoussaurus
@batjes5 juli 2022 10:56
Die vaststelling slaat nergens op. Dat er relatief veel zero days gevonden kan meerdere dingen betekenen:
  1. Omdat Google Chrome zoveel gebruikers heeft, staat het in de spotlights van beveiligingsonderzoekers als Google's eigen Project Zero (en hun andere beveiligingsteams)
  2. Er worden simpelweg meer vulnerabilities gevonden omdat de focus veel meer op Chrome ligt dan andere browsers (inclusief tooling). Dat er zoveel gepatcht wordt kan je ook zien als een voordeel / goed iets.
  3. Google Chrome is gebaseerd op Chromium, dus het is waarschijnlijk überhaupt kletskoek om te impliceren dat Chrome nog lekker is dan Internet Explorer. Chromium (en daarmee ook Chrome) heeft naar mijn weten veel meer features en componenten. Meer features/componenten = meer kans op kwetsbaarheden in deze features/componenten. Immers kan je geen kwetsbaarheid hebben in een feature/component die je browser (Firefox) niet heeft. Bovendien gebruik je Chrome en Chromium door elkaar heen in je bericht

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:41]

WoutervOorschot @Anonymoussaurus5 juli 2022 11:32
Opzich zeggen deze standpunten toch niks over wel/niet veiliger dan IE vroeger? Ofwel, deze punten waren ook van toepassing op IE toen het marktleider was.

Absoluut is het sws veiliger, maar relatief tot hoe geavanceerd aanvallen zijn geworden zou het best ongeveer hetzelfde kunnen zijn?
Anonymoussaurus
@WoutervOorschot5 juli 2022 11:48
Mijn standpunten gingen meer over Chrome/Chromium an sich, maar ook in verhouding met Firefox (wat batjes gebruikt). Firefox heeft bij lange na niet zo'n groot marktaandeel als IE had of Chrome nu heeft.
batjes
@Anonymoussaurus5 juli 2022 12:47
Heb je een ander alternatief voor gatenkaas Chromium dan? Kleiner marktaandeel of niet, Firefox doet het beter. De keuze is nogal beperkt uit Chromium, Chromium, Chromium, Chromium of Firefox. De situatie is erger dan 2000 met IE als marktleider.

[Reactie gewijzigd door batjes op 22 juli 2024 14:41]

Anonymoussaurus
@batjes5 juli 2022 13:06
Wat een onzin. Over gatenkaas adviseer ik je om nogmaals mijn bericht te lezen.

De keuze is niet beperkt wat betreft Chromium-based webbrowsers: https://en.wikipedia.org/...rowsers_based_on_Chromium, verder zijn er ook nog tal van andere browsers die niet op Chromium gebaseerd zijn: https://www.fossmint.com/alternative-chromium-browsers/

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:41]

batjes
@Anonymoussaurus5 juli 2022 13:12
:) Misschien snap je het niet. Al die browsers zijn Chromium-gebaseerd en/of zitten op Blink. Die zijn allemaal vatbaar voor deze exploit bijvoorbeeld.

Nogmaals, wat is buiten Firefox een realistisch alternatief op Google's spul? Safari? Oh alleen beschikbaar op Apple spul. Konqueror is Linux only. Hoe krijg ik die op mijn Windows PC of Android telefoon?
Anonymoussaurus
@batjes5 juli 2022 14:19
Ik stuur toch ook net een link van niet-Chromium based browsers? Die zijn ook redelijk populair.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:41]

batjes
@Anonymoussaurus5 juli 2022 14:28
Heb je die link zelf doorgenomen?
1) Opera = Blink, 2) Vivaldi = Blink, 3) Opera Neon = Blink, 4) Edge = Blink, 5) Brave = Blink, 6) Opera GX = Blink, 7) SRWare Iron = Blink, 8 ) Epic Privacy Browser = Blink, 9) Comodo = Blink, 10) Torch = Blink.

[Reactie gewijzigd door batjes op 22 juli 2024 14:41]

Anonymoussaurus
@batjes6 juli 2022 20:23
Jij wilde toch een niet Chromium-browser? Je zei niks over welke engine het moet gebruiken.
Wouterie @batjes6 juli 2022 11:54
Hier ook een Firefox gebruiker... Echter ben ik het niet helemaal met je tendentieus taalgebruik eens. Op dit moment zit er in Chromium een probleem en wellicht nog meer, maar dat betekent niet dat Firefox nu en IE vroeger veiliger zijn. IE heeft meer dan genoeg zero-days gekend en die van Firefox zijn niet zo heel lang geleden: https://www.mozilla.org/e...y/advisories/mfsa2022-09/
De pest met zero-days is dat je nu niet kunt zeggen hoe de wereld er morgen uitziet. In maart had je kunnen roepen dat je de 'gatenkaas' Firefox moest verruilen voor Chromium en nu zou je wee terug moeten rennen vanwege Chromiumgatenkaas!?
keejoz @batjes5 juli 2022 10:47
Dat is echt onzin. IE was veel erger in zijn tijd. Niet alleen in aantal maar ook in hoe gevaarlijk en simpel die waren. Embedded payloads in simpele JPEGs die draaiden op pageload bv?

Een simpele Google search toont ook dat er voor jouw heilige Firefox al minstens 1 zeroday gefixt is in Maart en dan zelfs 2 tegelijkertijd in april. Meer opzoekwerk ga ik niet doen want mobile.
batjes
@keejoz5 juli 2022 11:22
Erger?

IE total CVE's: 1157
Chrome total CVE's: 2387

Chrome doet 10 jaar minder lang mee. Bij IE werden er veel 'pas' gevonden toen Microsoft al met Edge bezig was.

Ook zijn er eigenlijk altijd meerdere IE's in omloop geweest met bergen legacy, wat de attack surface enorm vergroot.

Over Firefox, 1 zero day actief misbruikt in het wild, versus de 4 van Chrome. Die van "april", mei dus, zijn van Pwn2Own.
Anonymoussaurus
@batjes5 juli 2022 12:06
Je lijkt je compleet blind te staren op het aantal CVEs. Dat is niet enkel hoe je kan concluderen dat X veiliger is dan Y, zoals ik ook al in m'n reactie zeg. Daarbij Internet Explorer had natuurlijk ook tien keer minder componenten, features, flags etc dan Chrome nu heeft. Dat is hetzelfde als dat over het algemeen, een OS zoals Windows veel meer potentie heeft om kwetsbaar te zijn vergeleken met een low-level apparaatje zoals een NFC-chip, om een overdreven voorbeeld te noemen.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:41]

batjes
@Anonymoussaurus5 juli 2022 12:42
IE11 is dan ook al bijna 10 jaar oud, niet raar natuurlijk dat het nu achterloopt in features en toen IE11 gereleased werd, was IE7 net EOL. IE8, IE9 en IE10 werden nog ondersteund. Dat balanceert die "minder componenten, features, flags etc" prima uit.

Zo veel liepen die 2 browser qua functionaliteiten in 2013-2014 nou ook weer niet uit elkaar.

De vergelijking tussen een NFC-Chip en een OS slaat ook als een lul op een drumstel.
Anonymoussaurus
@batjes5 juli 2022 13:09
Ja, en? Feit blijft dat er minder features in zaten, ook al is dat logisch.

Zoals ik zei is de vergelijking een overdreven voorbeeld, puur om m'n punt te verduidelijken. Wat ik probeer aan te geven is dat software vol functies logischerwijs meer kans heeft om vatbaar te zijn voor kwetsbaarheden dan redelijk minimalistische software.
batjes
@Anonymoussaurus5 juli 2022 13:49
Wat is minder? Qua browser features zat er maar bar weinig verschil in. Zelfs in HTML5 features is het verschil niet denderend groot. Maar goed als je IE11 nooit fatsoenlijk gebruikt hebt, zal het je verbazen hoeveel er eigenlijk wel in zat.

Tenzij je natuurlijk beide nu in 2022 gaat vergelijken. Je kan natuurlijk ook de exploits uit 2013-2014-2015 met elkaar vergelijken en dan even IE8-9-10 en 11 tegenover Chrome zetten.

IE had een veel grotere attack surface.
Anonymoussaurus
@batjes5 juli 2022 14:21
Even op een rijtje:
  • Engine
  • Renderer (HTML5)
  • Blink
  • Ondersteuning voor veel meer standaarden
  • En dan vergeet ik er waarschijnlijk nog een paar

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 14:41]

batjes
@Anonymoussaurus5 juli 2022 14:37
Engine, renderer en blink = hetzelfde?

Ondersteuning voor meer standaarden viel redelijk mee. IE11 ondersteunde bij release gewoon alle vastgezette HTML5 standaarden. Chrome ondersteunde wel wat meer standaarden die nog in ontwikkeling waren, maar zo denderend veel waren dat er niet. Daar staat tegenover dat IE11 ook een enorme waslijst "eigen standaarden" heeft die Chrome weer niet ondersteund (zie de -destijds- enorme stapel IE-only websites, vooral zakelijk).

IE11 had bv weer een stapel accessibility features die Chrome niet had. Uitgebreide tracking protection. Zakelijke integraties en features. Een boel legacy spul vanaf het IE6 tijdperk.

Ze hadden allebei een andere featurelijst, maar in totaal aantal features zal er weinig verschil in hebben gezeten.

En dat is dan IE11, IE8-10 werden ook nog ondersteund en mag je ook meerekenen in de attack surface voor dat CVE/exploit lijstje.

[Reactie gewijzigd door batjes op 22 juli 2024 14:41]

Anonymoussaurus
@batjes6 juli 2022 20:29
Nee, dat zijn niet dezelfde dingen. Misschien jezelf beter inlezen wat wat betekent.
  • Engine = Chrome's V8 JavaScript engine
  • Blink = browser engine
  • Renderer = HTML5.
Het gaat niet alleen over die paar features, maar neem hier eens een kijkje: https://chromestatus.com/features. Je zult zien dat het wat meer is dan een paar features. En de dingen die je opnoemt (integraties) kun je dmv extensies doen tegenwoordig, wat ook weer aparte kwetsbaarheden met zich meebrengt.
DominAbbus @Anonymoussaurus5 juli 2022 16:13
Maar dat dondert toch helemaal niet?
Ik bedoel: of er nou een kwetsbaarheid zit in Notepad of in LibreOffice, feit blijft dat je over 2 maanden door een ransomware aanval getroffen kan worden.
"Complexiteit" van de software mag nooit een excuus zijn om dit dan maar te vergoeilijken.
arnoldus1955 @DominAbbus6 juli 2022 00:07
Dus terug een oude Internet Explorer gebruiken dan?
Het punt dat hij maakte was dat je niet volledig objectief kan claimen dat A is beter dan B want minder CVE.
De oorzaak of de gevolgen maken niets uit voor deze stelling.
SPee @batjes5 juli 2022 12:56
En hoe snel werden die allemaal gepatcht en uitgerold?
Bij IE duurde dat langer, dan bij Chrome.
sfc1971 @batjes5 juli 2022 10:49
Dus je heb het over IE 11 en dan nog met de kwalificatie dat je het met EMET moet gebruiken... juist ja.

Voor de lelijke eend was er een reclame, sneller dan een Ferrari die langzamer rijdt. 100% accuraat, grappig en totaal idiote vergelijking.
Ed Vertijsment @batjes5 juli 2022 11:14
IE kreeg voornamelijk kritiek vanwege de trage ontwikkeling waardoor bepaalde dingen voor ontwikkelaars moeilijker werden dan nodig. Het zal ongetwijfeld ook veiligheidsissues hebben gehad maar volgens mij was dat nooit het grootste kritiekpunt.
henk717 @batjes5 juli 2022 14:31
Nee dat is echt totaal onzin. Chromium is een heel veilige browser met weinig kwetsbaarheden. Alle grote aanvalspunten zijn er wel uit en daardoor moet actief worden gezocht naar nieuwe zero days om iets te kunnen doen. Heb je hem als aanvaller gevonden? Dan is het nu een kwestie van tijd want chrome browsers hebben hele goede automatische updates dus binnen notime is het grote gros niet langer kwetsbaar.

Gaan we terug naar het IE tijdperk kom je op een totaal ander beeld uit. In die tijd had je kant en klare exploit kits omdat het loonde om deze te ontwikkelen. Je kon die kant en klaar kopen en dan had je vervolgens grote kans dat je een systeem binnen kwam. Ofwijl via een browser bug, ofwijl Java, Flash, Adobe Reader of een andere populaire plugin. IE had daar geen bescherming tegen want met ActiveX stond de deur volledig open met hele brede toegang tot browser uitbreidingen. Ik heb zelfs nog een programma die games kan omzetten tot een ActiveX browser game zo flexibel (en onveilig) was dat.

Dus bij IE hoefte je niet actief te zoeken, je kocht een exploit kit en was daarmee binnen. Als je nu zoekt op nieuws zoekt is de nieuwste die ik kan vinden uit 2022. De rig exploit kit. Welke exploit? Een voor IE. Vorige artiekel uit 2018, Fallout Exploit Kit. Welke exploit? VBScript. Welke browser ondersteund VBScript? IE.

Dus stellen dat IE veiliger is omdat er minder wordt gevonden is gewoon een hele slechte redenering. Als het loonde om een exploit kit te verkopen voor Chrome waren ze niet uitgestorven. Maar tegen de tijd dat ze ontwikkeld zijn en worden verkocht is de exploit al gepatched.

Dus de kans dat jij op een pagina land die je browser over neemt is tegenwoordig echt heel erg laag. En de exploits die er voor werken van korte duur.
RoelRoel @batjes5 juli 2022 22:30
Met een browser die vrijwel niks kan, kan er ook een stuk minder mis gaan.
swhnld 5 juli 2022 09:29
Zit deze bug ook in Chromium, of zit dit in he Google overhead deel wat ze toevoegen aan Chromium om er Chrome van te maken?

Dat is best wel belangrijk gezien het aantal browsers gebaseerd op Chromium.
oef! @swhnld5 juli 2022 09:33
Chromium, is te zien als je naar de log/changes doorklikt in de gelinkte Google post.
Z80 @oef!5 juli 2022 09:49
Die waar je eerst voor moet inloggen bij Google?

Waarom kan Google dit niet direct en duidelijk vermelden ipv verstoppertje spelen.
De inhoud of exacte werking kan tot na de patch ronde wachten. Maar een duidelijke lijst met welk stuk software getroffen is zou wel zeer prettig zijn.
Nu is het voor mij een reden om zo ver mogelijk van Chromium gebaseerde browsers weg te blijven.
Marve79 @Z805 juli 2022 10:05
Op 1 juli bekend gemaakt en op 5 juli gepatched. Dat vind ik toch best netjes. Voor mij juist een reden het wel te gebruiken.
Z80 @Marve795 juli 2022 10:44
En wat is er nog meer getroffen door deze bug dan enkel chrome? Juist alle versies gebaseerd op Chromium.
Dit had wel duidelijk door Google vermeld mogen worden. Edge is dus waarschijnlijk ook kwetsbaar. Net zoals alle andere smaakjes die op Chromium gebaseerd zijn.

De snelheid van patchen is goed. De communicatie is een ramp.
Marve79 @Z805 juli 2022 11:36
Edge gebruikt als basis gewoon Chromium. Dus die wordt vanzelf gepatched met de nieuwe versie. Hetzelfde geldt voor alle andere browsers gebasseerd op Chromium. Die hoeven daar niets voor te doen want ze gebruiken die codebase toch al.

Dit is juist het voordeel dat het open source is, het wordt snel ontdekt en snel verholpen. Maargoed als je geen Chromium based browser wilt gebruiken vind je toch wel een reden daar heb je dit toch niet voor nodig? Waarschijnlijk gebruik jij Safari of Firefox maar ook daar worden soms zero-days in gevonden en ik vraag me af of die even snel verholpen worden.
Z80 @Marve795 juli 2022 13:11
Ik heb het idee dat er lang elkaar gepraat wordt.
Het bericht meld dat chrome gepatched is ivm een zeroday die reeds misbruikt wordt.
Bij het lezen van de LOG link blijkt niet chrome het probleem te zijn maar Chromium.
Behoorlijke miscommunicatie.
Bijkomend probleem is dat alle andere Chromium browsers nu extra kwetsbaar zijn voor aanvallen.
Dit blijft tot de maker van de browser deze geüpdatet heeft. Wat nog maar de vraag is of dit voor Edge in de aankomende patchronde al het geval is.

Een gepatchte Chromium betekend namelijk niet dat direct alle daarop draaiende browsers ook up to date zijn.De maker van deze browser zal de gepatchte Chromium wel in zijn/haar stuk software moeten verwerken, testen en online gooien.
Marve79 @Z805 juli 2022 14:11
Ligt eraan hoe dringend Microsoft het probleem vindt en hoe snel zij het oppakken maar meestal komt de nieuwe Edge release vlak na de nieuwe Chrome release. En Chrome/Chromium, ach al die devs van afgeleide browsers zitten op de Git van Chrome en zien dus direct de melding en kunnen daar gelijk op inspelen.

Alsof Google expres Chrome en niet Chromium noemt om anderen te verwarren. Je kunt ook overdrijven. Beetje spijkers op laag water zoeken is het.
dblazen @Z805 juli 2022 09:54
Je hoeft er niet voor in te loggen, tenminste niet het "log" deel

[Reactie gewijzigd door dblazen op 22 juli 2024 14:41]

Z80 @dblazen5 juli 2022 10:40
Nog een keer gekeken. Lekker duidelijk, niet dus. log is dus ook een link.
In plaats van deze blauw te maken, zoals de link wat hoger.
Cluefull @swhnld5 juli 2022 10:01
De top resultaat die ik vond:
"WebRTC is part of Blink, Chromium's rendering engine. Blink is part of Chromium, the open source part of Chrome. And Chromium is what Chrome uses as its browser engine."
Dus Chromium, zou ik zeggen.
wica @swhnld5 juli 2022 09:34
Het is een bug in Chrome, dus alle Chrome gebaseerde browsers hebben er last van.
die4ever @wica5 juli 2022 09:39
Chrome is gebaseerd op Chromium, vandaar de relevante vraag of het in Chromium zit (de core die andere browsers ook gebruiken) of Chrome (de extra features die Chrome, Chrome maken).
sfc1971 5 juli 2022 10:49
verkeerd gereageerd

[Reactie gewijzigd door sfc1971 op 22 juli 2024 14:41]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq