Google repareert derde zeroday van 2023 in Chromium

Google heeft een zeroday gerepareerd in Chromium. Het is de derde zeroday die in 2023 in de browser wordt gefikst. Details over de uitbuiting van de type confusion ontbreken.

Google heeft de fix doorgevoerd in versie 114.0.5735.110 voor Windows en versie 114.0.5735.106 voor macOS en Linux. Daarin zijn twee kwetsbaarheden gerepareerd, waaronder een zeroday. Google zegt dat die actief werd misbruikt, maar het bedrijf geeft daar zoals gebruikelijk geen details over.

De kwetsbaarheid is CVE-2023-3079. Dat is een type confusion in de V8-JavaScript-engine van de browser. In april werden er al twee andere zerodays gerepareerd in Chromium.

Reacties (11)

Sjeefr 6 juni 2023 14:56

Het is de derde zeroday die in 2023 in de browser wordt gefikst

Ik snap dat deze zin in een dergelijk nieuwsartikel zit, maar ik mis context. Is dat veel, weinig? Heeft het lang geduurd of is het probleem vorige week pas gemeld? Is dit ongelooflijk dat het is gefixt? Als ik bij de NOS zou lezen "Derde zeer dreigende potentiële terrorisme-aanval voorkomen dit jaar", dan kan ik hieromheen mijn mening vormen. In dit bericht niet. Wellicht dat iemand dit kan toelichten?

nout77 @Sjeefr • 6 juni 2023 21:17

Terechte vragen inderdaad. Ik vind het ook lastig te duiden, maar de titel op security.nl vind ik al een stuk informatiever: 'Google komt met noodpatch voor actief aangevallen zerodaylek in Chrome'
https://www.security.nl/p...llen+zerodaylek+in+Chrome

'De kwetsbaarheid bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript en waarin met name vorig jaar al tal van andere zerodaylekken werden gevonden. Ook het eerste zerodaylek van dit jaar in Chrome, waarvoor in januari een update verscheen, bevond zich in V8.'

'[..] and it was discovered by Google's researcher Clément Lecigne on June 1, 2023, and is a type confusion in V8, Chrome's JavaScript engine tasked with executing code within the browser.
Type confusion bugs arise when the engine misinterprets the type of an object during runtime, potentially leading to malicious memory manipulation and arbitrary code execution.' - source: https://www.bleepingcompu...with-exploit-in-the-wild/

[Reactie gewijzigd door nout77 op 1 augustus 2024 11:14]

Verwijderd @Sjeefr • 6 juni 2023 16:12

Zeer vreemde zin, inderdaad.
Volgens mij patched Microsoft iedere maand wel een zero-day maar waar ga je mee vergelijken?
Ik denk dat ze het eerder in de trant van 'snel updaten' bedoelen, maar dat zouden ze er dan ook bij moeten zetten?

tERRiON @Sjeefr • 8 juni 2023 11:32

Het is om meerdere redenen een beetje onbevredigend bericht. De CVE-link verwijst naar een website waarvoor je moet inloggen terwijl er publiek toegankelijke bronnen zijn. En het was ook heel aardig geweest als er vermeld werd dat Edge ook door deze kwetsbaarheid wordt getroffen, waarvoor overigens ook al een patch beschikbaar is.

jaenster

6 juni 2023 13:16

De CVE-2023-3079 link verwijst naar een intern document. Tenminste, ik heb er geen access op.

Lau1406 @jaenster • 6 juni 2023 13:34

De Mitre website verwijst ook naar die url, maar ik kan daar ook niet bij, vreemd dit
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3079

jaenster

@Lau1406 • 6 juni 2023 13:47

Het zou kunnen zijn dat dit lek zo groot is dat ze het pas "publiek" maken wanneer een groot deel van de gebruikers geupgrade is. Nu trekken reverse engineers deze patch wel uit elkaar en kijken wat er veranderd is en komen er op die manier wel achter, toch blijft de groep zo kleiner.

Maar het is bijzonder dat ze linken naar de interne url. Als ik mij niet vergis was dit bij het vorige nieuwsbericht ook aan de hand, maar daar is de link inmiddels wel publiek.