Google patcht actief misbruikte kwetsbaarheid in Chromes WebRTC-component

Google heeft een kwetsbaarheid in Chrome verholpen die actief werd misbruikt. De zeroday zat in de WebRTC-component. Het ging om een heap-based bufferoverflow die een paar dagen geleden werd ontdekt.

De kwetsbaarheid is geregistreerd als CVE-2022-2294. Details over de bug zijn nog niet bekend gemaakt. Google schrijft in een korte blogpost dat de bug op 1 juli werd ontdekt door securitybedrijf Avast. Het zou gaan om een heap-based bufferoverflow in de WebRTC-component die de classificatie 'High' krijgt. Met een heap-based bufferoverflow zijn verschillende soorten aanvallende acties mogelijk, van het crashen van programma's tot het uitvoeren van code. Wat er precies met deze bug werd gedaan, is niet bekend. Volgens Google werd de zeroday actief misbruikt, maar ook daarover ontbreken details.

De bug is gerepareerd in Chrome 103.0.5060.114 voor Windows en Chrome 103.0.5060.71 voor Android. Er worden in die versie ook twee andere kwetsbaarheden gerepareerd. Dat zijn CVE-2022-2295 en CVE-2022-2296. De eerste is een type confusion in de V8-engine van Chrome, de tweede is een use-after-freekwetsbaarheid in de shell van Chrome OS.

Door Tijs Hofmans

Redacteur

05-07-2022 • 09:24

42 Linkedin

Submitter: TheVivaldi

Reacties (42)

Wijzig sortering
Geld deze fix ook voor de Android System Webview .apk?
Als ik in de playstore bij de changelog kijk dan zie ik alleen "Bug fixes and speedy performance improvements." staan, maar dat stond er twee jaar geleden ook al.
Nu Chrome al een tijdje marktleider is, ergens wel geinig om te zien hoe de "betere, snellere en veiligere" browser alternatief op Internet Explorer, dit jaar al de 4de zero day voor zijn kiezen heeft gekregen.

Internet Explorer kreeg veel haat, maar het was (in combinatie met EMET) lang niet zo'n gatenkaas als dat Chromium nu is. Gemiddeld ~1 a 2 zulke grote exploits per jaar en het eerste ~1,5 jaar na release 11 is het niemand gelukt de sandbox uit te breken.

Nu is een groot deel van de internet gebruikers afhankelijk van Chromium, die amper 2 maanden zonder serieuze actief misbruikte zero day kunnen. Brave, Edge, Opera, etc zijn nu net zo kwetsbaar.

Zelf spendeer ik sinds enkele jaren de meeste tijd in Firefox, the last of the Mohicans
Die vaststelling slaat nergens op. Dat er relatief veel zero days gevonden kan meerdere dingen betekenen:
  1. Omdat Google Chrome zoveel gebruikers heeft, staat het in de spotlights van beveiligingsonderzoekers als Google's eigen Project Zero (en hun andere beveiligingsteams)
  2. Er worden simpelweg meer vulnerabilities gevonden omdat de focus veel meer op Chrome ligt dan andere browsers (inclusief tooling). Dat er zoveel gepatcht wordt kan je ook zien als een voordeel / goed iets.
  3. Google Chrome is gebaseerd op Chromium, dus het is waarschijnlijk überhaupt kletskoek om te impliceren dat Chrome nog lekker is dan Internet Explorer. Chromium (en daarmee ook Chrome) heeft naar mijn weten veel meer features en componenten. Meer features/componenten = meer kans op kwetsbaarheden in deze features/componenten. Immers kan je geen kwetsbaarheid hebben in een feature/component die je browser (Firefox) niet heeft. Bovendien gebruik je Chrome en Chromium door elkaar heen in je bericht

[Reactie gewijzigd door AnonymousWP op 5 juli 2022 10:57]

Opzich zeggen deze standpunten toch niks over wel/niet veiliger dan IE vroeger? Ofwel, deze punten waren ook van toepassing op IE toen het marktleider was.

Absoluut is het sws veiliger, maar relatief tot hoe geavanceerd aanvallen zijn geworden zou het best ongeveer hetzelfde kunnen zijn?
Mijn standpunten gingen meer over Chrome/Chromium an sich, maar ook in verhouding met Firefox (wat batjes gebruikt). Firefox heeft bij lange na niet zo'n groot marktaandeel als IE had of Chrome nu heeft.
Heb je een ander alternatief voor gatenkaas Chromium dan? Kleiner marktaandeel of niet, Firefox doet het beter. De keuze is nogal beperkt uit Chromium, Chromium, Chromium, Chromium of Firefox. De situatie is erger dan 2000 met IE als marktleider.

[Reactie gewijzigd door batjes op 5 juli 2022 12:48]

Wat een onzin. Over gatenkaas adviseer ik je om nogmaals mijn bericht te lezen.

De keuze is niet beperkt wat betreft Chromium-based webbrowsers: https://en.wikipedia.org/...rowsers_based_on_Chromium, verder zijn er ook nog tal van andere browsers die niet op Chromium gebaseerd zijn: https://www.fossmint.com/alternative-chromium-browsers/

[Reactie gewijzigd door AnonymousWP op 5 juli 2022 13:07]

:) Misschien snap je het niet. Al die browsers zijn Chromium-gebaseerd en/of zitten op Blink. Die zijn allemaal vatbaar voor deze exploit bijvoorbeeld.

Nogmaals, wat is buiten Firefox een realistisch alternatief op Google's spul? Safari? Oh alleen beschikbaar op Apple spul. Konqueror is Linux only. Hoe krijg ik die op mijn Windows PC of Android telefoon?
Ik stuur toch ook net een link van niet-Chromium based browsers? Die zijn ook redelijk populair.

[Reactie gewijzigd door AnonymousWP op 5 juli 2022 14:19]

Heb je die link zelf doorgenomen?
1) Opera = Blink, 2) Vivaldi = Blink, 3) Opera Neon = Blink, 4) Edge = Blink, 5) Brave = Blink, 6) Opera GX = Blink, 7) SRWare Iron = Blink, 8 ) Epic Privacy Browser = Blink, 9) Comodo = Blink, 10) Torch = Blink.

[Reactie gewijzigd door batjes op 5 juli 2022 14:28]

Jij wilde toch een niet Chromium-browser? Je zei niks over welke engine het moet gebruiken.
Hier ook een Firefox gebruiker... Echter ben ik het niet helemaal met je tendentieus taalgebruik eens. Op dit moment zit er in Chromium een probleem en wellicht nog meer, maar dat betekent niet dat Firefox nu en IE vroeger veiliger zijn. IE heeft meer dan genoeg zero-days gekend en die van Firefox zijn niet zo heel lang geleden: https://www.mozilla.org/e...y/advisories/mfsa2022-09/
De pest met zero-days is dat je nu niet kunt zeggen hoe de wereld er morgen uitziet. In maart had je kunnen roepen dat je de 'gatenkaas' Firefox moest verruilen voor Chromium en nu zou je wee terug moeten rennen vanwege Chromiumgatenkaas!?
Dat is echt onzin. IE was veel erger in zijn tijd. Niet alleen in aantal maar ook in hoe gevaarlijk en simpel die waren. Embedded payloads in simpele JPEGs die draaiden op pageload bv?

Een simpele Google search toont ook dat er voor jouw heilige Firefox al minstens 1 zeroday gefixt is in Maart en dan zelfs 2 tegelijkertijd in april. Meer opzoekwerk ga ik niet doen want mobile.
Erger?

IE total CVE's: 1157
Chrome total CVE's: 2387

Chrome doet 10 jaar minder lang mee. Bij IE werden er veel 'pas' gevonden toen Microsoft al met Edge bezig was.

Ook zijn er eigenlijk altijd meerdere IE's in omloop geweest met bergen legacy, wat de attack surface enorm vergroot.

Over Firefox, 1 zero day actief misbruikt in het wild, versus de 4 van Chrome. Die van "april", mei dus, zijn van Pwn2Own.
Je lijkt je compleet blind te staren op het aantal CVEs. Dat is niet enkel hoe je kan concluderen dat X veiliger is dan Y, zoals ik ook al in m'n reactie zeg. Daarbij Internet Explorer had natuurlijk ook tien keer minder componenten, features, flags etc dan Chrome nu heeft. Dat is hetzelfde als dat over het algemeen, een OS zoals Windows veel meer potentie heeft om kwetsbaar te zijn vergeleken met een low-level apparaatje zoals een NFC-chip, om een overdreven voorbeeld te noemen.

[Reactie gewijzigd door AnonymousWP op 5 juli 2022 12:08]

IE11 is dan ook al bijna 10 jaar oud, niet raar natuurlijk dat het nu achterloopt in features en toen IE11 gereleased werd, was IE7 net EOL. IE8, IE9 en IE10 werden nog ondersteund. Dat balanceert die "minder componenten, features, flags etc" prima uit.

Zo veel liepen die 2 browser qua functionaliteiten in 2013-2014 nou ook weer niet uit elkaar.

De vergelijking tussen een NFC-Chip en een OS slaat ook als een lul op een drumstel.
Ja, en? Feit blijft dat er minder features in zaten, ook al is dat logisch.

Zoals ik zei is de vergelijking een overdreven voorbeeld, puur om m'n punt te verduidelijken. Wat ik probeer aan te geven is dat software vol functies logischerwijs meer kans heeft om vatbaar te zijn voor kwetsbaarheden dan redelijk minimalistische software.
Wat is minder? Qua browser features zat er maar bar weinig verschil in. Zelfs in HTML5 features is het verschil niet denderend groot. Maar goed als je IE11 nooit fatsoenlijk gebruikt hebt, zal het je verbazen hoeveel er eigenlijk wel in zat.

Tenzij je natuurlijk beide nu in 2022 gaat vergelijken. Je kan natuurlijk ook de exploits uit 2013-2014-2015 met elkaar vergelijken en dan even IE8-9-10 en 11 tegenover Chrome zetten.

IE had een veel grotere attack surface.
Even op een rijtje:
  • Engine
  • Renderer (HTML5)
  • Blink
  • Ondersteuning voor veel meer standaarden
  • En dan vergeet ik er waarschijnlijk nog een paar

[Reactie gewijzigd door AnonymousWP op 5 juli 2022 14:22]

Engine, renderer en blink = hetzelfde?

Ondersteuning voor meer standaarden viel redelijk mee. IE11 ondersteunde bij release gewoon alle vastgezette HTML5 standaarden. Chrome ondersteunde wel wat meer standaarden die nog in ontwikkeling waren, maar zo denderend veel waren dat er niet. Daar staat tegenover dat IE11 ook een enorme waslijst "eigen standaarden" heeft die Chrome weer niet ondersteund (zie de -destijds- enorme stapel IE-only websites, vooral zakelijk).

IE11 had bv weer een stapel accessibility features die Chrome niet had. Uitgebreide tracking protection. Zakelijke integraties en features. Een boel legacy spul vanaf het IE6 tijdperk.

Ze hadden allebei een andere featurelijst, maar in totaal aantal features zal er weinig verschil in hebben gezeten.

En dat is dan IE11, IE8-10 werden ook nog ondersteund en mag je ook meerekenen in de attack surface voor dat CVE/exploit lijstje.

[Reactie gewijzigd door batjes op 5 juli 2022 14:40]

Nee, dat zijn niet dezelfde dingen. Misschien jezelf beter inlezen wat wat betekent.
  • Engine = Chrome's V8 JavaScript engine
  • Blink = browser engine
  • Renderer = HTML5.
Het gaat niet alleen over die paar features, maar neem hier eens een kijkje: https://chromestatus.com/features. Je zult zien dat het wat meer is dan een paar features. En de dingen die je opnoemt (integraties) kun je dmv extensies doen tegenwoordig, wat ook weer aparte kwetsbaarheden met zich meebrengt.
Maar dat dondert toch helemaal niet?
Ik bedoel: of er nou een kwetsbaarheid zit in Notepad of in LibreOffice, feit blijft dat je over 2 maanden door een ransomware aanval getroffen kan worden.
"Complexiteit" van de software mag nooit een excuus zijn om dit dan maar te vergoeilijken.
Dus terug een oude Internet Explorer gebruiken dan?
Het punt dat hij maakte was dat je niet volledig objectief kan claimen dat A is beter dan B want minder CVE.
De oorzaak of de gevolgen maken niets uit voor deze stelling.
En hoe snel werden die allemaal gepatcht en uitgerold?
Bij IE duurde dat langer, dan bij Chrome.
Dus je heb het over IE 11 en dan nog met de kwalificatie dat je het met EMET moet gebruiken... juist ja.

Voor de lelijke eend was er een reclame, sneller dan een Ferrari die langzamer rijdt. 100% accuraat, grappig en totaal idiote vergelijking.
IE kreeg voornamelijk kritiek vanwege de trage ontwikkeling waardoor bepaalde dingen voor ontwikkelaars moeilijker werden dan nodig. Het zal ongetwijfeld ook veiligheidsissues hebben gehad maar volgens mij was dat nooit het grootste kritiekpunt.
Nee dat is echt totaal onzin. Chromium is een heel veilige browser met weinig kwetsbaarheden. Alle grote aanvalspunten zijn er wel uit en daardoor moet actief worden gezocht naar nieuwe zero days om iets te kunnen doen. Heb je hem als aanvaller gevonden? Dan is het nu een kwestie van tijd want chrome browsers hebben hele goede automatische updates dus binnen notime is het grote gros niet langer kwetsbaar.

Gaan we terug naar het IE tijdperk kom je op een totaal ander beeld uit. In die tijd had je kant en klare exploit kits omdat het loonde om deze te ontwikkelen. Je kon die kant en klaar kopen en dan had je vervolgens grote kans dat je een systeem binnen kwam. Ofwijl via een browser bug, ofwijl Java, Flash, Adobe Reader of een andere populaire plugin. IE had daar geen bescherming tegen want met ActiveX stond de deur volledig open met hele brede toegang tot browser uitbreidingen. Ik heb zelfs nog een programma die games kan omzetten tot een ActiveX browser game zo flexibel (en onveilig) was dat.

Dus bij IE hoefte je niet actief te zoeken, je kocht een exploit kit en was daarmee binnen. Als je nu zoekt op nieuws zoekt is de nieuwste die ik kan vinden uit 2022. De rig exploit kit. Welke exploit? Een voor IE. Vorige artiekel uit 2018, Fallout Exploit Kit. Welke exploit? VBScript. Welke browser ondersteund VBScript? IE.

Dus stellen dat IE veiliger is omdat er minder wordt gevonden is gewoon een hele slechte redenering. Als het loonde om een exploit kit te verkopen voor Chrome waren ze niet uitgestorven. Maar tegen de tijd dat ze ontwikkeld zijn en worden verkocht is de exploit al gepatched.

Dus de kans dat jij op een pagina land die je browser over neemt is tegenwoordig echt heel erg laag. En de exploits die er voor werken van korte duur.
Met een browser die vrijwel niks kan, kan er ook een stuk minder mis gaan.
Zit deze bug ook in Chromium, of zit dit in he Google overhead deel wat ze toevoegen aan Chromium om er Chrome van te maken?

Dat is best wel belangrijk gezien het aantal browsers gebaseerd op Chromium.
Chromium, is te zien als je naar de log/changes doorklikt in de gelinkte Google post.
Die waar je eerst voor moet inloggen bij Google?

Waarom kan Google dit niet direct en duidelijk vermelden ipv verstoppertje spelen.
De inhoud of exacte werking kan tot na de patch ronde wachten. Maar een duidelijke lijst met welk stuk software getroffen is zou wel zeer prettig zijn.
Nu is het voor mij een reden om zo ver mogelijk van Chromium gebaseerde browsers weg te blijven.
Op 1 juli bekend gemaakt en op 5 juli gepatched. Dat vind ik toch best netjes. Voor mij juist een reden het wel te gebruiken.
En wat is er nog meer getroffen door deze bug dan enkel chrome? Juist alle versies gebaseerd op Chromium.
Dit had wel duidelijk door Google vermeld mogen worden. Edge is dus waarschijnlijk ook kwetsbaar. Net zoals alle andere smaakjes die op Chromium gebaseerd zijn.

De snelheid van patchen is goed. De communicatie is een ramp.
Edge gebruikt als basis gewoon Chromium. Dus die wordt vanzelf gepatched met de nieuwe versie. Hetzelfde geldt voor alle andere browsers gebasseerd op Chromium. Die hoeven daar niets voor te doen want ze gebruiken die codebase toch al.

Dit is juist het voordeel dat het open source is, het wordt snel ontdekt en snel verholpen. Maargoed als je geen Chromium based browser wilt gebruiken vind je toch wel een reden daar heb je dit toch niet voor nodig? Waarschijnlijk gebruik jij Safari of Firefox maar ook daar worden soms zero-days in gevonden en ik vraag me af of die even snel verholpen worden.
Ik heb het idee dat er lang elkaar gepraat wordt.
Het bericht meld dat chrome gepatched is ivm een zeroday die reeds misbruikt wordt.
Bij het lezen van de LOG link blijkt niet chrome het probleem te zijn maar Chromium.
Behoorlijke miscommunicatie.
Bijkomend probleem is dat alle andere Chromium browsers nu extra kwetsbaar zijn voor aanvallen.
Dit blijft tot de maker van de browser deze geüpdatet heeft. Wat nog maar de vraag is of dit voor Edge in de aankomende patchronde al het geval is.

Een gepatchte Chromium betekend namelijk niet dat direct alle daarop draaiende browsers ook up to date zijn.De maker van deze browser zal de gepatchte Chromium wel in zijn/haar stuk software moeten verwerken, testen en online gooien.
Ligt eraan hoe dringend Microsoft het probleem vindt en hoe snel zij het oppakken maar meestal komt de nieuwe Edge release vlak na de nieuwe Chrome release. En Chrome/Chromium, ach al die devs van afgeleide browsers zitten op de Git van Chrome en zien dus direct de melding en kunnen daar gelijk op inspelen.

Alsof Google expres Chrome en niet Chromium noemt om anderen te verwarren. Je kunt ook overdrijven. Beetje spijkers op laag water zoeken is het.
Je hoeft er niet voor in te loggen, tenminste niet het "log" deel

[Reactie gewijzigd door dblazen op 5 juli 2022 09:55]

Nog een keer gekeken. Lekker duidelijk, niet dus. log is dus ook een link.
In plaats van deze blauw te maken, zoals de link wat hoger.
De top resultaat die ik vond:
"WebRTC is part of Blink, Chromium's rendering engine. Blink is part of Chromium, the open source part of Chrome. And Chromium is what Chrome uses as its browser engine."
Dus Chromium, zou ik zeggen.
Het is een bug in Chrome, dus alle Chrome gebaseerde browsers hebben er last van.
Chrome is gebaseerd op Chromium, vandaar de relevante vraag of het in Chromium zit (de core die andere browsers ook gebruiken) of Chrome (de extra features die Chrome, Chrome maken).
verkeerd gereageerd

[Reactie gewijzigd door sfc1971 op 5 juli 2022 10:49]

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee