Google patcht elf kwetsbaarheden in Chrome waaronder zeroday met exploit

Google heeft een patch uitgebracht voor Chrome waarmee een zeroday is verholpen. Er bestond een werkende exploit, maar hoe vaak die is misbruikt en wat de bug precies inhoudt, is niet bekend.

Google heeft update 104.0.5112.102/101 van Chrome voor Windows en 104.0.5112.101 voor macOS en Linux uitgebracht als Stable-release. Het bedrijf schrijft in een blogpost dat er elf kwetsbaarheden in de browser zijn verholpen. Zes daarvan zijn use-after-freebugs in FedCm, SwiftShader, Angle, Blink, Shell en Sign-in Flow. Ook zit er een foute policy enforcement in de Cookies-functionaliteit van de browser. De kwetsbaarheden zijn aangedragen door externe beveiligingsonderzoekers en in twee gevallen door Googles eigen Project Zero-beveiligingsafdeling.

Een van de bugs, CVE-2022-2856, is een zeroday. "Google is ervan op de hoogte dat er een exploit van CVE-2022-2856 in het wild bestaat", schrijft het bedrijf, maar details daarover geeft het niet. Het is niet bekend of die exploit ook daadwerkelijk wordt misbruikt en in hoeveel gevallen dat zo is. Details over de kwetsbaarheid zijn summier; Google noemt het een insufficient validation of untrusted input in Intents, maar geeft er verder geen details over. De kwetsbaarheid werd gevonden door een werknemer van Googles eigen Threat Analysis Group, een aparte beveiligingsafdeling.

Reacties (17)

Urk

17 augustus 2022 17:19

Wat ik me hiermee altijd afvraag: is de Chromium engine en daarmee Edge dan ook kwetsbaar...?
Hoewel ik gok dat FedCm, SwiftShader, Angle, Blink, Shell en Sign-in Flow geen onderdeel zijn van de Chromium engine?

En wat betekent trouwens versie 104.0.5112.102/101. Bedoelen ze dan de laatste 2 builds hiermee? Dus gefixed in .101 en daarna nog iets kleins gefixed?

[Reactie gewijzigd door Urk op 25 juli 2024 08:56]

Anonymoussaurus

Google

@Urk • 17 augustus 2022 17:24

Blink zelf is sowieso onderdeel van Chromium, want dat is de renderer: https://www.chromium.org/blink/. FedCm blijkbaar ook: https://blog.chromium.org...federated-credential.html. Grote kans dat Edge binnenkort dan ook volgt en een update krijgt.

[Reactie gewijzigd door Anonymoussaurus op 25 juli 2024 08:56]

Opperpanter2 17 augustus 2022 17:11

Als er een patch is, is het toch geen 0-day meer?

CH4OS @Opperpanter2 • 17 augustus 2022 17:19

De 0-day impliceert dat het een bug is die waar alle voorgaande versies wel vatbaar voor waren. In deze nieuwe versie is het gefixed.

Orama @CH4OS • 17 augustus 2022 18:38

Dacht dat 0-day betekent dat de bug er vanaf het begin inzat en nu pas is ontdekt?

MarkieNL @Orama • 17 augustus 2022 18:46

Volgens Kaspersky is de betekenis als volgt:

"Zero-day" is a broad term that describes recently discovered security vulnerabilities that hackers can use to attack systems. The term "zero-day" refers to the fact that the vendor or developer has only just learned of the flaw – which means they have “zero days” to fix it. A zero-day attack takes place when hackers exploit the flaw before developers have a chance to address it.

Bron: https://www.kaspersky.com...initions/zero-day-exploit

Opperpanter2 @MarkieNL • 17 augustus 2022 19:26

Maar als er dan een patch is, heet het dan nog steeds een 0-day of niet? De uitgevoerde aanval misschien wel, maar het lek zelf niet meer in mijn beleving.

henk717 @Opperpanter2 • 17 augustus 2022 20:05

Ja, het is puur om wie eerst was. Als hackers onverwacht een exploit in het wild gaan gebruiken dan is dat een 0-day. Als de fabrikant al bezig was met een oplossing en pas daarna de exploit wordt gebruikt. Of als iemand een exploit ontwikkeld in de hoop dat mensen hun software niet updaten op basis van de kennis van wat er gepatcht is spreken we niet van een 0-day.

Opperpanter2 @henk717 • 17 augustus 2022 20:35

Rare definitie en niet zoals ik hem hanteer of heb geleerd. Ook niet wat de grote namen hanteren:

https://www.trendmicro.co...on/zero-day-vulnerability
https://us.norton.com/int...vulnerabilities-work.html
https://www.imperva.com/l...ecurity/zero-day-exploit/

Eenmaal een patch beschikbaar -> geen zero day meer noemen.

Bulkzooi @Opperpanter2 • 19 augustus 2022 13:57

Rare definitie en niet zoals ik hem hanteer of heb geleerd. Ook niet wat de grote namen hanteren:

https://www.trendmicro.co...on/zero-day-vulnerability
https://us.norton.com/int...vulnerabilities-work.html
https://www.imperva.com/l...ecurity/zero-day-exploit/

Eenmaal een patch beschikbaar -> geen zero day meer noemen.

De discussie is lood om oud ijzer.

On September 9, 1947, a team of computer scientists and engineers reported the world’s first computer bug. A bug is a flaw or glitch in a system. Thomas Edison reported “bugs” in his designs as early as the 1800s, but this was the first bug identified in a computer. Today, software bugs can impact the functioning, safety, and security of computer operating systems. “Debugging” and bug management are important parts of the computer science industry.

CH4OS @Orama • 17 augustus 2022 19:10

Ja, dat dacht ik dus ook.