Google brengt patch uit voor actief misbruikte kwetsbaarheid in Chrome

Google heeft een patch uitgebracht voor een actief misbruikte kwetsbaarheid in de Chrome-browser. De kwetsbaarheid zit in de Skia-engine, die wordt gebruikt voor het weergeven van plaatjes en tekst. Het is de zesde zeroday in Chrome die Google dit jaar heeft gepatcht.

De patch zit in Chrome-versie 119.0.6045.199 en 119.0.6045.200 voor Windows en 119.0.6045.199 voor macOS en Linux. Naast zes andere bugfixes, is ook de zeroday in de Skia-engine opgelost. Deze kwetsbaarheid wordt aangeduid als CVE-2023-6345. Google zegt zich 'bewust te zijn van berichten' dat deze kwetsbaarheid al wordt geëxploiteerd.

De bug maakt een integer overflow mogelijk in de Skia-engine. Aanvallers kunnen daarmee mogelijk crashes veroorzaken of in het ergste geval willekeurige code uitvoeren binnen de browser. De kwetsbaarheid is gevonden door twee onderzoekers van Googles Threat Analysis Group. Het bedrijf deelt geen verdere details. Google weerhoudt concrete informatie over kwetsbaarheden doorgaans totdat de meeste gebruikers de patch hebben geïnstalleerd.

Google Chrome-updates worden doorgaans binnen enkele dagen automatisch geïnstalleerd. Gebruikers kunnen de update ook handmatig installeren. Dat is mogelijk door in de browser op 'Help' en vervolgens 'Over Google Chrome' te klikken in het instellingenmenu rechtsboven in de browser. Gebruikers kunnen daar de update installeren, waarna de browser opnieuw kan worden opgestart.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 29-11-2023 11:05
43 • submitter: wildhagen

29-11-2023 • 11:05

43

Submitter: wildhagen

Lees meer

Google verhelpt bug die Google Search-app voor Android deed crashen
Google verhelpt bug die Google Search-app voor Android deed crashen Nieuws van 15 september 2024
Ladybird-browser met eigen engine krijgt stichting en donatie van miljoen
Ladybird-browser met eigen engine krijgt stichting en donatie van miljoen Nieuws van 5 juli 2024
Google repareert voor zesde keer in 2024 zeroday in Chrome
Google repareert voor zesde keer in 2024 zeroday in Chrome Nieuws van 17 mei 2024
Google: 50 procent meer zerodays actief misbruikt in 2023 dan in 2022
Google: 50 procent meer zerodays actief misbruikt in 2023 dan in 2022 Nieuws van 28 maart 2024
'Exploit maakt overnemen Google-accounts mogelijk, ook na wijzigen wachtwoord'
'Exploit maakt overnemen Google-accounts mogelijk, ook na wijzigen wachtwoord' Nieuws van 30 december 2023
Googles Safety Check-functie draait automatisch op achtergrond in Chrome
Googles Safety Check-functie draait automatisch op achtergrond in Chrome Nieuws van 22 december 2023
'Android-wachtwoordmanagers schermen inloggegevens bij autofill niet goed af'
'Android-wachtwoordmanagers schermen inloggegevens bij autofill niet goed af' Nieuws van 10 december 2023
Google test AI-functie voor Chrome die tabbladen groepeert
Google test AI-functie voor Chrome die tabbladen groepeert Nieuws van 28 november 2023
Google geeft Chrome Web Store visuele opfrisbeurt
Google geeft Chrome Web Store visuele opfrisbeurt Nieuws van 21 november 2023
YouTube: gebruikers met adblocker kunnen suboptimale kijkervaring beleven
YouTube: gebruikers met adblocker kunnen suboptimale kijkervaring beleven Nieuws van 21 november 2023
YouTube-gebruikers melden trager ladende video's in niet-Chrome-browsers
YouTube-gebruikers melden trager ladende video's in niet-Chrome-browsers Nieuws van 20 november 2023
Chrome stopt medio 2024 met Manifest V2-extensies, mogelijk gevolgen adblockers
Chrome stopt medio 2024 met Manifest V2-extensies, mogelijk gevolgen adblockers Nieuws van 20 november 2023
Google activeert functie voor wachtwoord delen met gezin in testversie Chrome
Google activeert functie voor wachtwoord delen met gezin in testversie Chrome Nieuws van 16 november 2023
Microsoft en Google gaan niet in beroep tegen aanwijzing als poortwachter in EU
Microsoft en Google gaan niet in beroep tegen aanwijzing als poortwachter in EU Nieuws van 14 november 2023
Google Chrome laat per tabblad geheugengebruik eenvoudiger zien
Google Chrome laat per tabblad geheugengebruik eenvoudiger zien Nieuws van 8 november 2023
Okta: datalek veroorzaakt door medewerker die inlogde met Google-account
Okta: datalek veroorzaakt door medewerker die inlogde met Google-account Nieuws van 5 november 2023
Adblockers melden meer installaties en verwijderingen vanwege YouTube
Adblockers melden meer installaties en verwijderingen vanwege YouTube Nieuws van 3 november 2023
Google laat Chrome-gebruikers op iOS URL-balk onderaan scherm plaatsen
Google laat Chrome-gebruikers op iOS URL-balk onderaan scherm plaatsen Nieuws van 31 oktober 2023
'Google werkt aan AI-functie voor herschrijven teksten in Google Chrome'
'Google werkt aan AI-functie voor herschrijven teksten in Google Chrome' Nieuws van 30 oktober 2023
Google repareert derde zeroday van 2023 in Chromium
Google repareert derde zeroday van 2023 in Chromium Nieuws van 6 juni 2023
Google verhelpt opnieuw zeroday in Chrome, tweede keer in week tijd
Google verhelpt opnieuw zeroday in Chrome, tweede keer in week tijd Nieuws van 19 april 2023
Google patcht actief misbruikte zeroday in Chrome-webbrowser
Google patcht actief misbruikte zeroday in Chrome-webbrowser Nieuws van 15 april 2023
Google patcht type confusion-bug in Chrome waarvoor exploit bestond
Google patcht type confusion-bug in Chrome waarvoor exploit bestond Nieuws van 29 oktober 2022
Google patcht elf kwetsbaarheden in Chrome waaronder zeroday met exploit
Google patcht elf kwetsbaarheden in Chrome waaronder zeroday met exploit Nieuws van 17 augustus 2022
Meer producten en artikelen
Beveiliging en antivirus Browsers Google Chrome Beveiliging Patches Vulnerability

Reacties (43)

-Moderatie-faq
43
42
16
2
0
20
Wijzig sortering

Sorteer op:

Weergave:
wildhagen
29 november 2023 11:12
Voor de duidelijkheid: Edge zou hetzelfde lek moeten bevatten, net als alle andere Chromium based browsers (Brave, Opera, Vivaldi etc). Maar voor in ieder geval Edge is op dit moment nog geen nieuwe build beschikbaar.
kruila @wildhagen29 november 2023 11:48
net binnen Edge update: Versie 119.0.2151.93 (Officiële build) (64-bits)
Theetjuh @kruila29 november 2023 12:23
Dat is een release van 2 dagen terug en bevat zo te zien niet de fixes voor de vulnerability: https://learn.microsoft.c...90215193-november-27-2023

Microsoft is aware of the recent exploits existing in the wild. We are actively working on releasing a security patch.
kiddingguy @wildhagen29 november 2023 12:15
Huidige Brave versie is (zelfs):
Version 1.60.118 Chromium: 119.0.6045.163 (Official Build) (64-bit)

Met de melding:
Brave is up to date

EDIT (30 nov 13.17u)
Brave inmiddels geupdatet naar:
Version 1.60.125 Chromium: 119.0.6045.199 (Official Build) (64-bit)

[Reactie gewijzigd door kiddingguy op 23 juli 2024 12:29]

Keypunchie
@wildhagen29 november 2023 15:28
Net geupdate met Vivaldi:
Vivaldi 6.4.3160.47 / Chrome 118.0.5993.161

Hmm, die lopen dan nog achter lijkt het. Lijkt erop dat ze van Extended Stable gebruik maken. Die is ook gepatcht.


Nou is het mijn secundaire browser en niet mijn primaire, maar wel goed om in het achterhoofd te houden.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 12:29]

Cerberus_tm @wildhagen30 november 2023 00:27
Ook Chrome op Android?
Verwijderd 29 november 2023 11:25
Google Chrome-updates worden doorgaans binnen enkele dagen automatisch geïnstalleerd.
Blijft vreemd dat Google security patches niet pusht zodat iedereen per direct is 'beveiligd' i.p.v. mensen nog enkele dagen kwetsbaar laat.
beerse @Verwijderd29 november 2023 13:00
Praktisch en technisch gezien bestaat er geen push. Google weet niet waar allemaal google chrome draait en ze ziet ook niet of een computer wel of niet aan staat. Overal waar met push gewerkt wordt is er praktisch/technisch gezien gewoon een andere kant die regelmatig (of onregelmatig) kijkt of er nog updates zijn.

Jou chrome doet dat niet direct maar wel kort na het opstarten, vooral omdat jij snel wilt starten en dat updaten kan wel even wachten. Daarna start ze in de regel de update op de achtergrond. Ook zijn er installaties waarbij een klein update programmatje wordt opgestart bij het inloggen of zo die dan spiekt of er een update klaar staat.

En ja, de update van google chrome (en vergelijkbare software) gaat zo on opgemerkt mogelijk. Daarom kan het een paar dagen duren voordat ze wordt bijgewerkt: Als jij chrome blijft gebruiken en het systeem snel gaat slapen als je ze niet meer gebruikt, dan duurt het een paar dagen.

Toevoeging: ChromeOS heeft ook een update, naar 119.0.6045.192.

[Reactie gewijzigd door beerse op 23 juli 2024 12:29]

dasiro @beerse29 november 2023 13:28
Google weet niet waar allemaal google chrome draait
dat weten ze maar al te goed, aangezien het de grootste datahoarder ter wereld is en chrome een van hun primaire datacollectors is
Blokker_1999
@beerse29 november 2023 14:43
Wanneer je browser vandaag de dag in staat is om van een willekeurige webserver binnen seconden een push notifcatie te krijgen en weer te geven aan een gebruiker mag er in de basis ook geen probleem zijn om een update mechanisme te maken dat het kan.

Maar er zijn een hele hoop technische redenen waarom je geen miljarden apparaten allemaal gelijktijdig wenst te laten upgraden.
Zezura @Verwijderd29 november 2023 11:47
Het is belangrijk om je systeem up-to-date te hebben. Zeker als het om een veel misbruikte kwetsbaarheid gaat. Maar hetzelfde als met vaccineren en andere medicijnen. Die wil je niet meteen op iedereen toepassen voordat je getest hebt of dat het een grote ongewenste effecten heeft.
Dus een uitrol met een beperkte groep eerst heeft de voorkeur. Zo kan je bijvoorbeeld niet de situatie krijgen dat heel de wereld een crashende computer heeft omdat je heel snel een beveiligingslek wilde dichten die amper werd misbruikt, dan is het uiteindelijke ongewenste effect wat de oplossing had moeten zijn, erger dan de kwaal.
Evdpol @Verwijderd29 november 2023 13:52
Graag voor windows 7 dan ook
mjtdevries @Evdpol29 november 2023 14:11
Waarom zou er voor windows 7 een aparte patch moeten komen?
De bug zit immers in de applicate en niet het OS.
Evdpol @mjtdevries30 november 2023 09:22
ik bedoelde voor chrome op windows 7 gezien die niet meer ondersteund wordt en het is zo'n belangrijke fix?
mjtdevries @Evdpol30 november 2023 09:59
Is er een aparte versie van chrome voor win7 dan?
Wat doen ze voor rare dingen dat het nodig zou zijn om een aparte versie te maken? Als ze netjes de APIs van windows gebruiken is daar helemaal geen aanleiding voor.
Evdpol @mjtdevries30 november 2023 15:23
https://tweakers.net/nieuws/206486/google-brengt-chrome-versie-uit-die-niet-meer-draait-op-windows-7-en-81.html

https://tweakers.net/nieuws/202656/google-stopt-ondersteuning-chrome-op-windows-7-en-windows-81-in-februari-2023.html
Darksequence @Evdpol29 november 2023 14:14
Het gaat om chrome dus die update krijg je ook gewoon op windows 7! :)

Maar eerlijk is het niet eens tijd pm W7 vaarwel te zeggen? Het was een goed OS maar persoonlijk zou ik echt niet meer terug willen.
Evdpol @Darksequence30 november 2023 15:24
nieuws: Google brengt Chrome-versie uit die niet meer draait op Windows 7 en 8.1

nieuws: Google stopt ondersteuning Chrome op Windows 7 en Windows 8.1 in febr...
Cees7964 @Evdpol29 november 2023 19:47
Chrome wordt toch niet meer ondersteund in Windows 7?
R4gnax
@Cees796429 november 2023 21:16
Versie 109 was idd de laatste, geloof ik
Evdpol @R4gnax30 november 2023 15:24
https://tweakers.net/nieuws/206486/google-brengt-chrome-versie-uit-die-niet-meer-draait-op-windows-7-en-81.html

https://tweakers.net/nieuws/202656/google-stopt-ondersteuning-chrome-op-windows-7-en-windows-81-in-februari-2023.html
Evdpol @Cees796430 november 2023 15:25
nieuws: Google brengt Chrome-versie uit die niet meer draait op Windows 7 en 8.1

nieuws: Google stopt ondersteuning Chrome op Windows 7 en Windows 8.1 in febr...
MrMonkE @Verwijderd29 november 2023 11:27
Ja man, gewoon allemaal parallel tegelijk. ;)
PatRamon @Verwijderd29 november 2023 11:46
Mits je Chrome hebt geïnstalleerd wordt er gelijk bij het opstarten van je pc de update geforceerd.
Bij mij staat dit uit doormiddel van:
Win11-->Systeemconfiguratie-->Services --> (Google update/chrome ect)

Gisteren na reboot van pc om plusminus 21:00 kreeg ik al gelijk de update melding
*(Handmatig dus door services uitschakeling)
kuurtjes @Verwijderd29 november 2023 11:55
Dan heb je Windows nog niet gezien waar je tot "patch tuesday" mag wachten. (Dus tot 30 dagen)
sfranken @kuurtjes29 november 2023 15:26
Patch tuesday is vaak voor dingen in Windows zelf, zoals de NT kernel. Applicaties die bovenop Windows draaien hebben hier niks mee te maken en worden, indien nodig, meteen bijgewerkt.
kuurtjes @sfranken29 november 2023 17:50
Ik antwoorde op "google die direct patches uitbrengt". Wat er juist gepatched wordt maakt niet uit.
sfranken @kuurtjes29 november 2023 18:33
Dat kwam in je reactie waar ik op reageerde niet naar voren, dus dat kan ik ook niet weten dan he
kuurtjes @sfranken29 november 2023 20:35
Als ik op iets antwoord en jij antwoord op mij, is het best dat je de context even meeneemt. :+
sfranken @kuurtjes6 december 2023 02:13
Dan heb je Windows nog niet gezien waar je tot "patch tuesday" mag wachten. (Dus tot 30 dagen)
Dus, nogmaals, welke context?
R4gnax
@kuurtjes29 november 2023 21:14
Windows? Wat dacht je van een platform zoals Steam.
Dat draait nog steeds op Chromium 85.

3 jaar oud en zo lek als een vergiet. Het gemiddelde vergiet heeft waarschijnlijk zelfs minder gaten dan er in die versie van Chromium bekend zijn.
Waaronder tenminste 2 - en nu dus 3 - vulnerabilities met tekenen van misbruik in het wild, waarvan van 2 bekend is - incl. proof of concept, dat er werkende exploits zijn om remote code execution en sandbox escape voor elkaar te krijgen.

Hoe de f--k krijgt Valve het voor elkaar dat echt niemand dit ook maar iets kan schelen?
Zelfs een partij als Tweakers heeft hier nooit ook maar enig woord in enig artikel over gerept.

Ja; wel haantje de voorste met overgenomen nieuwsartikelen over nutteloze nieuwe bling-bling die aan Steam toegevoegd is; maar nul-komma-nul over dit soort zaken die er daadwerkelijk toe doen en waar mensen weet van zouden moeten hebben.
sfranken @R4gnax6 december 2023 02:14
Steam is niet de enige, trouwens. Discord maakt zich hier ook schuldig aan, om een voorbeeld te noemen.
R4gnax
@sfranken6 december 2023 18:05
Discord was er anders behoorlijk rap bij met bijv. de libwebp vulnerability.
https://www.reddit.com/r/...their_clients_to_protect/


Steam's beleid is daarentegen ronduitig schandalig.
Je zou het zelfs op het kantje criminele nalatigheid kunnen noemen.

Zeker als je nagaat dat ze de marktleider zijn binnen PC-gaming en miljoenen systemen wereldwijd de Steam client geinstalleerd hebben staan. En terwijl ze een geschatte bruto jaarwinst van ca 8.5 miljard USD hebben, lijkt daarvan dus nada naar degelijk security-beleid te gaan,

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:29]

PCG2020 @kuurtjes29 november 2023 12:15
Bij een actief uitgebuite grote kwetsbaarheid wacht Microsoft ook niet per se tot 'Patch Tuesday' met het uitbrengen van een patch. Zo'n lek wordt zo snel mogelijk gedicht. Maar omdat ook Microsoft niet parallel kan pushen, kan dat natuurlijk niet bij iedereen op hetzelfde moment. Vandaar 'zo snel mogelijk'.
Server.1968 29 november 2023 11:48
Eigenlijk was ik overgestapt op Edge, nu toch maar weer naar Firefox dat als één van de weinige grote browsers deze kwetsbaarheid hopelijk niet heeft. Het overzetten van gegevens van Edge naar Firefox ging heel snel via de 'instellingen', 'gegevens importeren'.
Madeco @Server.196829 november 2023 11:52
Fijn dat je FF gebruikt, zouden meer mensen moeten doen. Maar het is echt niet zo dat daar nooit zero-day bugs in zitten.
PCG2020 @Madeco29 november 2023 12:26
Dat beweert @Server.1968 ook niet. Hij hoopt dat Firefox de kwetsbaarheid die andere, op Chromium gebaseerde browsers misschien wel hebben, niet heeft.

ninja-edit: Ook Firefox gebruikt de Skia-engine voor grafische weergave. Het kan dus zijn dat de zero-day daar ook in zit. Zo ja, dan zal Mozilla daar waarschijnlijk ook zo snel mogelijk een patch voor uitbrengen.
himlims_ @Server.196829 november 2023 11:53
Dat browser(s)hoppen ben ik mee gestopt, onderaan de streep kom steeds terug bij Firefox. Goed niet de snelste, maar gevoelsmatig wel de meest complete/solide browser.
dakka @Server.196829 november 2023 12:47
Firefox heeft deze kwetsbaarheid mogelijk ook, Skia is namelijk ook onderdeel van Moz2D.

[Reactie gewijzigd door dakka op 23 juli 2024 12:29]

Z80 @dakka29 november 2023 14:26
Jij hebt inzicht in de broncode van Firefox?
Dat Firefox Skia gebruikt wil niet zeggen dat deze bug ook in Firefox werkt.
Het kan maar zo zijn dat de foutafhandeling net iets anders is. Of het aanroepen van Skia-engine een extra beveiliging heeft.
sfranken @Z8029 november 2023 15:27
... Of dat Firefox net deze versie van Skia gebruikt met de kwetsbaarheid, ook dat is niet zeker/bekend.
Dark Angel 58 29 november 2023 11:54
Chrome kan bij het opstarten van een computer automatisch geupdated (silent update) geloof ik. Ik heb vandaag gecontroleerd of mijn Chrome geupdated was. Het heeft versie eindcijfer 200 gekregen.
Niets van gemerkt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq