Google brengt patch uit voor actief misbruikte kwetsbaarheid in Chrome

Google heeft een patch uitgebracht voor een actief misbruikte kwetsbaarheid in de Chrome-browser. De kwetsbaarheid zit in de Skia-engine, die wordt gebruikt voor het weergeven van plaatjes en tekst. Het is de zesde zeroday in Chrome die Google dit jaar heeft gepatcht.

De patch zit in Chrome-versie 119.0.6045.199 en 119.0.6045.200 voor Windows en 119.0.6045.199 voor macOS en Linux. Naast zes andere bugfixes, is ook de zeroday in de Skia-engine opgelost. Deze kwetsbaarheid wordt aangeduid als CVE-2023-6345. Google zegt zich 'bewust te zijn van berichten' dat deze kwetsbaarheid al wordt geëxploiteerd.

De bug maakt een integer overflow mogelijk in de Skia-engine. Aanvallers kunnen daarmee mogelijk crashes veroorzaken of in het ergste geval willekeurige code uitvoeren binnen de browser. De kwetsbaarheid is gevonden door twee onderzoekers van Googles Threat Analysis Group. Het bedrijf deelt geen verdere details. Google weerhoudt concrete informatie over kwetsbaarheden doorgaans totdat de meeste gebruikers de patch hebben geïnstalleerd.

Google Chrome-updates worden doorgaans binnen enkele dagen automatisch geïnstalleerd. Gebruikers kunnen de update ook handmatig installeren. Dat is mogelijk door in de browser op 'Help' en vervolgens 'Over Google Chrome' te klikken in het instellingenmenu rechtsboven in de browser. Gebruikers kunnen daar de update installeren, waarna de browser opnieuw kan worden opgestart.

Door Daan van Monsjou

Nieuwsredacteur

29-11-2023 • 11:05

43

Submitter: wildhagen

Lees meer

Reacties (43)

Sorteer op:

Weergave:

Voor de duidelijkheid: Edge zou hetzelfde lek moeten bevatten, net als alle andere Chromium based browsers (Brave, Opera, Vivaldi etc). Maar voor in ieder geval Edge is op dit moment nog geen nieuwe build beschikbaar.
net binnen Edge update: Versie 119.0.2151.93 (Officiële build) (64-bits)
Huidige Brave versie is (zelfs):
Version 1.60.118 Chromium: 119.0.6045.163 (Official Build) (64-bit)

Met de melding:
Brave is up to date

EDIT (30 nov 13.17u)
Brave inmiddels geupdatet naar:
Version 1.60.125 Chromium: 119.0.6045.199 (Official Build) (64-bit)

[Reactie gewijzigd door kiddingguy op 23 juli 2024 12:29]

Net geupdate met Vivaldi:
Vivaldi 6.4.3160.47 / Chrome 118.0.5993.161

Hmm, die lopen dan nog achter lijkt het. Lijkt erop dat ze van Extended Stable gebruik maken. Die is ook gepatcht.


Nou is het mijn secundaire browser en niet mijn primaire, maar wel goed om in het achterhoofd te houden.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 12:29]

Ook Chrome op Android?
Google Chrome-updates worden doorgaans binnen enkele dagen automatisch geïnstalleerd.
Blijft vreemd dat Google security patches niet pusht zodat iedereen per direct is 'beveiligd' i.p.v. mensen nog enkele dagen kwetsbaar laat.
Praktisch en technisch gezien bestaat er geen push. Google weet niet waar allemaal google chrome draait en ze ziet ook niet of een computer wel of niet aan staat. Overal waar met push gewerkt wordt is er praktisch/technisch gezien gewoon een andere kant die regelmatig (of onregelmatig) kijkt of er nog updates zijn.

Jou chrome doet dat niet direct maar wel kort na het opstarten, vooral omdat jij snel wilt starten en dat updaten kan wel even wachten. Daarna start ze in de regel de update op de achtergrond. Ook zijn er installaties waarbij een klein update programmatje wordt opgestart bij het inloggen of zo die dan spiekt of er een update klaar staat.

En ja, de update van google chrome (en vergelijkbare software) gaat zo on opgemerkt mogelijk. Daarom kan het een paar dagen duren voordat ze wordt bijgewerkt: Als jij chrome blijft gebruiken en het systeem snel gaat slapen als je ze niet meer gebruikt, dan duurt het een paar dagen.

Toevoeging: ChromeOS heeft ook een update, naar 119.0.6045.192.

[Reactie gewijzigd door beerse op 23 juli 2024 12:29]

Google weet niet waar allemaal google chrome draait
dat weten ze maar al te goed, aangezien het de grootste datahoarder ter wereld is en chrome een van hun primaire datacollectors is
Wanneer je browser vandaag de dag in staat is om van een willekeurige webserver binnen seconden een push notifcatie te krijgen en weer te geven aan een gebruiker mag er in de basis ook geen probleem zijn om een update mechanisme te maken dat het kan.

Maar er zijn een hele hoop technische redenen waarom je geen miljarden apparaten allemaal gelijktijdig wenst te laten upgraden.
Het is belangrijk om je systeem up-to-date te hebben. Zeker als het om een veel misbruikte kwetsbaarheid gaat. Maar hetzelfde als met vaccineren en andere medicijnen. Die wil je niet meteen op iedereen toepassen voordat je getest hebt of dat het een grote ongewenste effecten heeft.
Dus een uitrol met een beperkte groep eerst heeft de voorkeur. Zo kan je bijvoorbeeld niet de situatie krijgen dat heel de wereld een crashende computer heeft omdat je heel snel een beveiligingslek wilde dichten die amper werd misbruikt, dan is het uiteindelijke ongewenste effect wat de oplossing had moeten zijn, erger dan de kwaal.
Graag voor windows 7 dan ook
Waarom zou er voor windows 7 een aparte patch moeten komen?
De bug zit immers in de applicate en niet het OS.
ik bedoelde voor chrome op windows 7 gezien die niet meer ondersteund wordt en het is zo'n belangrijke fix?
Is er een aparte versie van chrome voor win7 dan?
Wat doen ze voor rare dingen dat het nodig zou zijn om een aparte versie te maken? Als ze netjes de APIs van windows gebruiken is daar helemaal geen aanleiding voor.
Het gaat om chrome dus die update krijg je ook gewoon op windows 7! :)

Maar eerlijk is het niet eens tijd pm W7 vaarwel te zeggen? Het was een goed OS maar persoonlijk zou ik echt niet meer terug willen.
Chrome wordt toch niet meer ondersteund in Windows 7?
Versie 109 was idd de laatste, geloof ik
Ja man, gewoon allemaal parallel tegelijk. ;)
Mits je Chrome hebt geïnstalleerd wordt er gelijk bij het opstarten van je pc de update geforceerd.
Bij mij staat dit uit doormiddel van:
Win11-->Systeemconfiguratie-->Services --> (Google update/chrome ect)

Gisteren na reboot van pc om plusminus 21:00 kreeg ik al gelijk de update melding
*(Handmatig dus door services uitschakeling)
Dan heb je Windows nog niet gezien waar je tot "patch tuesday" mag wachten. (Dus tot 30 dagen)
Patch tuesday is vaak voor dingen in Windows zelf, zoals de NT kernel. Applicaties die bovenop Windows draaien hebben hier niks mee te maken en worden, indien nodig, meteen bijgewerkt.
Ik antwoorde op "google die direct patches uitbrengt". Wat er juist gepatched wordt maakt niet uit.
Dat kwam in je reactie waar ik op reageerde niet naar voren, dus dat kan ik ook niet weten dan he
Als ik op iets antwoord en jij antwoord op mij, is het best dat je de context even meeneemt. :+
Dan heb je Windows nog niet gezien waar je tot "patch tuesday" mag wachten. (Dus tot 30 dagen)
Dus, nogmaals, welke context?
Windows? Wat dacht je van een platform zoals Steam.
Dat draait nog steeds op Chromium 85.

3 jaar oud en zo lek als een vergiet. Het gemiddelde vergiet heeft waarschijnlijk zelfs minder gaten dan er in die versie van Chromium bekend zijn.
Waaronder tenminste 2 - en nu dus 3 - vulnerabilities met tekenen van misbruik in het wild, waarvan van 2 bekend is - incl. proof of concept, dat er werkende exploits zijn om remote code execution en sandbox escape voor elkaar te krijgen.

Hoe de f--k krijgt Valve het voor elkaar dat echt niemand dit ook maar iets kan schelen?
Zelfs een partij als Tweakers heeft hier nooit ook maar enig woord in enig artikel over gerept.

Ja; wel haantje de voorste met overgenomen nieuwsartikelen over nutteloze nieuwe bling-bling die aan Steam toegevoegd is; maar nul-komma-nul over dit soort zaken die er daadwerkelijk toe doen en waar mensen weet van zouden moeten hebben.
Steam is niet de enige, trouwens. Discord maakt zich hier ook schuldig aan, om een voorbeeld te noemen.
Discord was er anders behoorlijk rap bij met bijv. de libwebp vulnerability.
https://www.reddit.com/r/...their_clients_to_protect/


Steam's beleid is daarentegen ronduitig schandalig.
Je zou het zelfs op het kantje criminele nalatigheid kunnen noemen.

Zeker als je nagaat dat ze de marktleider zijn binnen PC-gaming en miljoenen systemen wereldwijd de Steam client geinstalleerd hebben staan. En terwijl ze een geschatte bruto jaarwinst van ca 8.5 miljard USD hebben, lijkt daarvan dus nada naar degelijk security-beleid te gaan,

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:29]

Bij een actief uitgebuite grote kwetsbaarheid wacht Microsoft ook niet per se tot 'Patch Tuesday' met het uitbrengen van een patch. Zo'n lek wordt zo snel mogelijk gedicht. Maar omdat ook Microsoft niet parallel kan pushen, kan dat natuurlijk niet bij iedereen op hetzelfde moment. Vandaar 'zo snel mogelijk'.
Eigenlijk was ik overgestapt op Edge, nu toch maar weer naar Firefox dat als één van de weinige grote browsers deze kwetsbaarheid hopelijk niet heeft. Het overzetten van gegevens van Edge naar Firefox ging heel snel via de 'instellingen', 'gegevens importeren'.
Fijn dat je FF gebruikt, zouden meer mensen moeten doen. Maar het is echt niet zo dat daar nooit zero-day bugs in zitten.
Dat beweert @Server.1968 ook niet. Hij hoopt dat Firefox de kwetsbaarheid die andere, op Chromium gebaseerde browsers misschien wel hebben, niet heeft.

ninja-edit: Ook Firefox gebruikt de Skia-engine voor grafische weergave. Het kan dus zijn dat de zero-day daar ook in zit. Zo ja, dan zal Mozilla daar waarschijnlijk ook zo snel mogelijk een patch voor uitbrengen.
Dat browser(s)hoppen ben ik mee gestopt, onderaan de streep kom steeds terug bij Firefox. Goed niet de snelste, maar gevoelsmatig wel de meest complete/solide browser.
Firefox heeft deze kwetsbaarheid mogelijk ook, Skia is namelijk ook onderdeel van Moz2D.

[Reactie gewijzigd door dakka op 23 juli 2024 12:29]

Jij hebt inzicht in de broncode van Firefox?
Dat Firefox Skia gebruikt wil niet zeggen dat deze bug ook in Firefox werkt.
Het kan maar zo zijn dat de foutafhandeling net iets anders is. Of het aanroepen van Skia-engine een extra beveiliging heeft.
... Of dat Firefox net deze versie van Skia gebruikt met de kwetsbaarheid, ook dat is niet zeker/bekend.
Chrome kan bij het opstarten van een computer automatisch geupdated (silent update) geloof ik. Ik heb vandaag gecontroleerd of mijn Chrome geupdated was. Het heeft versie eindcijfer 200 gekregen.
Niets van gemerkt.

Op dit item kan niet meer gereageerd worden.