Microsoft lost zeroday in Edge op en zegt dat Google van misbruik wist

Microsoft heeft meerdere kwetsbaarheden in Edge gerepareerd, waaronder een voor een bug die in het wild werd uitgebuit. Volgens het bedrijf zit die kwetsbaarheid ook in alle Chromium-browsers. Google bracht daar vorige week al een update voor uit, maar noemde het geen zeroday.

Microsoft beschrijft in een advisory een bug die wordt getrackt als CVE-2024-2883. Dat is een use-after-free in Angle, de WebGL-component in Chromium. Daarmee zijn niet alleen Chrome, maar ook afgeleiden zoals Edge kwetsbaar voor de bug. De bug krijgt een Kritiek-rating mee. Met de bug kan een aanvaller op afstand een heap corruption triggeren via een html-phishingpagina. Microsoft heeft die bug inmiddels gerepareerd in Edge.

De bug wordt volgens Microsoft actief misbruikt. Zoals gebruikelijk geeft het bedrijf daar geen details over, dus is niet bekend door wie dat gebeurt en hoe vaak. Extra opvallend is dat Microsoft zegt dat Google op de hoogte is dat de exploit in het wild wordt misbruikt. Google repareerde de bug vorige week in versie 123.0.6312.86 en /.87 in de Stable Channel en noemde daarbij specifiek deze kwetsbaarheid, maar het bedrijf zei daarbij niet dat het bekend was met actief misbruik. Meestal doet Google dat wel, al geeft ook dat bedrijf daar doorgaans geen details over.

Reacties (58)

RobertMe 31 maart 2024 10:48

De grote vraag is dan natuurlijk: als het probleem in Chromium zit, is het probleem dan ook in Chromium opgelost? Of hebben Google en Microsoft alleen hun eigen, closed source, fork gepatcht? Waarmee dus al die andere Chromium afgeleide (Vivaldi, Brave, Opera, ...) uberhaupt nog steeds kwetsbaar zouden zijn tenzij het ook weer alleen zelf gepatcht hebben.

Jay47 @RobertMe • 31 maart 2024 10:55

*Volgens het bedrijf zit die kwetsbaarheid ook in alle Chromium-browsers. Google bracht daar vorige week al een update voor uit, maar noemde het geen zeroday*

Als ik het zo lees dan heeft Google het ook gepatched.

Damic @Jay47 • 31 maart 2024 11:14

Ja google heeft het gepatched, maar je moet zelf (als browser bouwer) dan nog even een re-compile doen want je moet de laatste Chromium bestanden gebruiken.

R4gnax

Google Chrome
Microsoft Edge

@Damic • 31 maart 2024 14:06

Wat dus ook betekent dat veel wijdverspreidde game clients zoals Battle.net en Steam, die allemaal op verouderde Chromiums / Chromia draaien - nog wel een tijdje zo lek als een vergiet zullen zijn.

Niets nieuws in het geval van Steam, trouwens. Die zitten vziw nog steeds op een inmiddels ca. 3.5jr oude versie van Chromium met legio vulnerabilities die signalen hebben in het wild misbruikt te worden...

TTMJ! @R4gnax • 31 maart 2024 14:52

Niets nieuws in het geval van Steam, trouwens. Die zitten vziw nog steeds op een inmiddels ca. 3.5jr oude versie van Chromium met legio vulnerabilities die signalen hebben in het wild misbruikt te worden...

Misschien een stomme vraag, maar is dit eigenlijk een gevaar wanneer je de Steam browser alleen voor game bs gebruikt tijdens het gamen?

R4gnax

Google Chrome
Microsoft Edge

@TTMJ! • 31 maart 2024 14:58

Hangt er vanaf. Alles wat contact legt met een externe server buiten de pagina's die strikt door Valve gecureerd worden, zouden in principe zaken kunnen serveren die een exploit bevatten - tenzij die systemen hier zelf rigoreus op controleren. Alles wat je bezoekt wat bijv. third-party advertenties inlaadt is in principe al een enorm risico.

Dat terzijde heb je altijd het risico dat het mogelijk is om via omwegen alsnog content op de walled garden van Steam's eigen community features te krijgen, die exploits uitbuit.

Het is dat Valve het uploaden van bijv. het webp bestandsformaat voor plaatjes, niet toelaat. Als ze dat wel hadden gedaan, was het hele platform gevoelig geweest voor de nog vrij recente remote code execution gaten in dat formaat, die je je misschien nog wel herinnert.

En het is al meermalen voorgekomen dat er gebruikers privaat melding gedaan hebben van bypasses waarmee het toch nog mogelijk bleek te zijn voor eindgebruikers op het platform om bijv. hun eigen JavaScript te injecteren in hun profielpagina. Waarmee je alsnog de mogelijkheid opent tot exploitatie van verschillende gaten die remote code execution en sandbox-escapes mogelijk maken, hoe goed het platform verder ook dichtgetimmerd wordt.

Het platform daargelaten vallen ook Valve's games zelf niet buiten schot.
DotA 2 gebruikt bijv. dezelfde V8 JS engine als Chromium voor ingame scripting activiteiten en custom game modussen. En Valve heeft deze ook niet bijgehouden. Ze hebben zelfs niet in de gaten gehad dat iemand al maanden en maanden bezig was om online een remote code execution malware dropper voor DotA 2 te conceptualiseren. (Of het kon ze natuurlijk geen bal schelen; wat gezien prestaties uit het verleden even waarschijnlijk is.)

[Reactie gewijzigd door R4gnax op 23 juli 2024 00:47]

MrFax @R4gnax • 31 maart 2024 18:09

En dit is dus de reden dat een common redistributable een beter idee is dan alle software hun aparte embedded chromium dll's...

BugBoy @MrFax • 31 maart 2024 18:54

Dat is weer erg lastig i.v.m. compatibility.

MrFax @BugBoy • 1 april 2024 16:42

Dan kan je een LTS-versie uitbrengen, net als Mozilla dat doet met Firefox.

R4gnax

Google Chrome
Microsoft Edge

@MrFax • 31 maart 2024 18:10

Precies. Volledig mee eens.

SuperDre @R4gnax • 31 maart 2024 16:05

Kan natuurlijk ook zijn dat die nog wel 'veilig' zijn en dat deze bug pas later is toegevoegd. Wat wel is, is dat die gameclients vaak niet 'onbekende' pagina's laden, dus dat het probleem daar niet zo groot is.

R4gnax

Google Chrome
Microsoft Edge

@SuperDre • 31 maart 2024 16:24

Het verschil is dat Steam met hun overlay een volwaardige multi-tabbed Chromium browser aan boord heeft om ingame te gebruiken om bijv. referentie-materiaal en guides op te zoeken. Ook wat niet op het platform zelf aanwezig is.
Zo zet Valve het ook zelf in de markt. Het is de bedoeling dat je het daarvoor kunt gebruiken.

In die zin is Steam wellicht vrij uniek onder de Chromium-powered game clients.

[Reactie gewijzigd door R4gnax op 23 juli 2024 00:47]

Zer0 @RobertMe • 31 maart 2024 10:58

Zelfs als de bug in de Chromium source gepatched is blijven afgeleiden mogelijk kwetsbaar, tot ze die patch verwerken in hun fork.

Jack Flushell

@RobertMe • 31 maart 2024 10:59

Ja, deze is opgelost in Chromium. In het artikel wordt gelinkt naar de release pagina van Chrome en als je daar kijkt bij het bug nummer (CVE-2024-2883) zie je een link naar de bugtracker van Chromium.

Edit:
Ene Cassidy Kim heeft er $10.000 voor gekregen.

[Reactie gewijzigd door Jack Flushell op 23 juli 2024 00:47]

satya @Jack Flushell • 31 maart 2024 11:09

Ik kreeg hem binnen over de mail maar niet met een hoge classificatie.

VULDB VULNERABILITY ALERT 2024-03-26

The following vulnerability entries match your custom filter:

* CVE-2024-2887 | CVSSv3 Meta 6.3 (base) 6.0 (temp) | Google Chrome WebAssembly type confusion | https://vuldb.com/?id.258074
* CVE-2024-2886 | CVSSv3 Meta 6.3 (base) 6.0 (temp) | Google Chrome WebCodecs use after free | https://vuldb.com/?id.258073
* CVE-2024-2885 | CVSSv3 Meta 6.3 (base) 6.0 (temp) | Google Chrome Dawn use after free | https://vuldb.com/?id.258071
* CVE-2024-2883 | CVSSv3 Meta 6.3 (base) 6.0 (temp) | Google Chrome ANGLE use after free | https://vuldb.com/?id.258070

Antiloop @satya • 1 april 2024 10:41

Off-Topic maar wat zijn goede sites/notifiers die dit soort dingen pro actief kunnen mailen, zonder een mega abo per maand, vuldb.com dus zo te zien een aanrader, hebben jullie nog meer aanraders en dan het liefst dat je op een leverancier/software product kunt subscriben?

satya @Antiloop • 3 april 2024 19:55

Deze site werkt voor mij, bij de instellingen kun je je interesse in applicaties of systemen krijgen en dan daar over gemaild worden.

Wat ook kan is aan de slag gaan met Wazuh, de agent controleert dan de systemen en stuurt massa's data door naar een centrale server van jezelf die je alarmeert als er iets uit de pas loopt en ook actief (XDR) in kan grijpen als het moet. Erg snel in te richten.

aikebah @RobertMe • 31 maart 2024 10:58

Misschien moet je eerst de inleiding lezen ipv alleen de titel?

RobertMe @aikebah • 31 maart 2024 11:08

Volgens het bedrijf zit die kwetsbaarheid ook in alle Chromium-browsers.

Dit stukje? (Zit, nog steeds?; Of zat, omdat Google het in Chromium heeft gefixt?; )

Google bracht daar vorige week al een update voor uit, maar noemde het geen zeroday.

Of dit stukje? Dat naar mijn idee meer stelt dat Google een update uit bracht voor Chrome (hun eigen browser), dan voor Chromium (de onderliggende open source variant waar Google wel nog veel werk aan doet).

Zo onomstotelijk vind ik het niet staan in het artikel in ieder geval. Er staat alleen dat Microsoft een zero-day heeft opgelost en dat Google van die zero-day op de hoogte was en deze gepatcht heeft. Maar waar die patch heeft plaatsgevonden (Chrome vs Chromium) staat nergens. Maar afgaande op de reactie van @Jack Flushell is het dus gepatcht in Chromium

[Reactie gewijzigd door RobertMe op 23 juli 2024 00:47]

naaitsab 31 maart 2024 11:35

Ik krijg op mijn werk onderhand bijna wekelijks wel meerdere CVE alerts over Chrome(ium). Lijkt alsof ze met meer 'bug bounty' acties nu veel actiever aan het "vissen" naar lekken of wordt er door het vele patchen juist weer andere dingen kwetsbaarder gemaakt? Voorheen kwam dit niet zo vaak voor heb ik het idee.

De impact kan ik alleen slecht inschatten. De meeste bronnen hebben het telkens over dat er "mogelijk code uitgevoerd kan worden of de browser laten crashen". Wat dat voor daadwerkelijke impact heeft zoals malware installaties op je PC, MIM aanval of credential stealers wordt nergens toegelicht. Wellicht dat de mensen die achter de 'NDA wall' van de Google Dev pagina zitten meer inzicht hebben maar als gebruiker wordt je er niet echt wijzer van. Ook niet als de 90 dagen periode van geheimhouding omtrent CVE's die vaak wordt gehanteerd is verlopen.

dasiro @naaitsab • 31 maart 2024 12:42

bugbounty programs bestaan al heel lang, sinds duidelijk geworden is dat exploits serieuze gevolgen kunnen hebben en externen vaak veel creatiever zijn dan de mensen die intern werken.

Wat de impact kan zijn, is onmogelijk te vertellen. Wat is de impact als je voordeurslot gepicked kan worden? Je huis kan leeggeroofd of gekraakt worden, maar dat wil daarom niet zeggen dat dat bij iedereen gebeurt. Voor hetzelfde geld ben je nooit het target of gaat een dievenbende rustig heel de straat langs op een nacht, omdat heel de wijk door dezelfde firma indertijd is gebouwd.

naaitsab @dasiro • 31 maart 2024 13:09

Als de kwetsbaarheid in je voorbeeld betekend dat iedereen met een paperclip zonder ervaring in 5 seconde je deur kan openen kan je zelf de gevolgen wel invullen. Alleen nu is het meer "er kan iets met je slot gebeuren". Daar heb je natuurlijk helemaal niks aan. Daar doel ik vooral op.

Gebruikers informeren over wat er nou daadwerkelijk aan de hand is daar win je veel meer mee dan "er is iets mogelijk". Nu moet je vaak goed kijken of iets überhaupt een lek is die actief misbruikt kan worden of meer een verhaal in een volledig gecontroleerde lab omgeving waar bijv al allerhande toegang nodig is. Uiteraard moet je beveiliging serieus nemen maar een 'boy who cried wolf' situatie ligt op de loer op deze manier.

dasiro @naaitsab • 31 maart 2024 21:57

dat is het probleem tegenwoordig: vanaf dat er ergens een exploit is, weet je niet waar die voor gebruikt kan worden enkel maar dat je kwetsbaar bent. Gesofisticeerdere aanvallen gebruiken vaak ook combinaties van exploits om tot hun doel te geraken. Simpel voorbeeld: als ze via je chromium-based browser op je pc komen met standaard-rechten, dan kunnen ze via een andere exploit in bvb een spel dat je 3 jaar geleden eens hebt geïnstalleerd admin-rechten krijgen. Geef een crimineel een geweer en wie kan zeggen wie hij allemaal gaat neerschieten.

In de digitale wereld is het relatief simpel om op grote schaal te gaan rondzoeken naar targets die kwetsbaar zijn. Het achtergrondverhaal dat vandaag hier is verschenen geeft dat ook goed weer dat het niet de vraag is of, maar eerder wanneer je slachtoffer kan worden. "boy who cried wolf" is een slecht voorbeeld, want dat is een voorbeeld van een "false positive", terwijl al deze aan de grote klok gehangen exploits wel degelijk legitieme gevaren vormen. Dat het er zo veel zijn, zou net een teken moeten zijn dat digitale veiligheid niet langer een "dat overkomt mij toch niet" verhaal mag zijn, want in de anonieme massa vallen scans niet op. Weinig mensen weten hoe ze hun firewall moeten controleren en laat staan dit soort threats te herkennen. In dit geval zou je het zelfs er niet in opmerken, want élke pagina krijgt vanuit je browser aangeleverd welke versie het is, ga maar eens naar www.whatismybrowser.com en je ziet direct al een hoop gegevens die zomaar te grabbel liggen.

naaitsab @dasiro • 1 april 2024 09:19

'Boy who cried wolf' an sich is niet helemaal van toepassing omdat het ook om daadwerkelijk exploiteerbare punten gaat. Niet enkel theoretische zaken. Alleen door de huidige onnodige obscuriteit en copy-paste meldingen gaan mensen er steeds minder aandacht aan schenken. Daarmee bereik je dus het tegenovergestelde. Meldingsmoeheid krijg je dan.

Ook lijkt het me een goeie om een keer een duidelijke score splitsing te maken tussen een lab-gegenereerde exploit, iets wat gebruiker interactie vereist en iets wat daadwerkelijk zonder je tussenkomst kan plaatsvinden. Er wordt nu wel bijzonder snel met 8+ gestrooid terwijl er soms vereisten aan hangen die (nagenoeg) niet te voldoen zijn bij een hack in het wild. Als je alles maar een hoge score geeft, omdat er nu vooral geleund wordt op de impact en zo zeer niet de vereiste dan heeft het ook niet zo veel zin. Als je het helemaal goed doet splits je m.i. een exploit in 2 hoofd scores. Een voor de impact en een voor de vereisten voor de exploit. Dan is deze afweging en risico inschatting een stuk zuiverder dan 1 nummer.

Zo maar updaten want CVE zullen met mij de mede professionele IT'ers ook wel weten dat dit in corporate omgevingen helaas niet altijd een kwestie is van next-next-finish. Of überhaupt mogelijk want legacy systemen. Zeker bij grote systemen moet je goed aan kunnen geven waarom je iets wilt patchen. Daar helpt een goed CVE systeem (en goed management) onwijs bij.

dasiro @naaitsab • 1 april 2024 09:40

Ik ben er eerlijk gezegd ook niet zo veel mee bezig als ik zou willen, maar ik veronderstel dat er niet licht gegaan wordt over het toekennen van scores en er zijn ook heel veel lage scores. Als ik een high/critical binnen krijg, dan zie ik wel hoezeer die van toepassing is op onze omgeving en kijk dan na wat de issues zijn in de mitigation of het recommended upgrade path, zelfs al zit dit niet specifiek in mijn functieomschrijving. "Trust the process" is soms gewoon nodig, want je kan onmogelijk zelf alles onderzoeken.

Het is niet omdat iets slechts in lab-omgeving is gedemonstreerd, dat er nergens een blackhat een exploit voor heeft gemaakt. Vergeet niet dat er een weelderige handel is in dit soort informatie en er bij het publiceren ervan een inschatting gemaakt wordt of het vrijgeven van zelfs de mogelijkheid van een exploit gevaarlijk kan zijn, want dan zullen er waarschijnlijk een hoop mensen (of net een heel specifieke groep) er op springen, omdat ze weten dat er iets te vinden is. Als versie 5 kwetsbaar is en 6 niet meer en we zitten ondertussen al aan 9, dan is dat nog altijd kostbare informatie als je target op 5 zit.

GoBieN-Be @naaitsab • 31 maart 2024 18:34

De CVSS score geeft meestal wel aan als iets kritiek is of niet.
Een score boven de 9 wil zeggen kritiek, en dat duidt meestal op een soort van RCE (Remote Code Execution) mogelijkheid.

Experts zullen wel betere methoden hanteren, maar voor een leek (zoals ik toch ben op gebied van security) is zo'n score een goede leidraad.

Xieoxer @naaitsab • 31 maart 2024 21:49

Misschien een beetje een vreemde vraag, maar welk hulpmiddel gebruik je om CVE’s te volgen of bij te houden? Ik merk dat het steeds gebruikelijker wordt om bij mogelijke kwetsbaarheden die bijvoorbeeld remote toegang kunnen veroorzaken, een CVE te creëren. Vroeger was een ‘mogelijke’ trigger gewoon een eenvoudige bugmelding. Ik ben blij dat CVE’s serieuzer worden genomen, maar het kan soms overweldigend zijn om ermee om te gaan.

naaitsab @Xieoxer • 1 april 2024 09:05

Is onderdeel van het gelicenseerde Microsoft Defender deel in Office/Microsoft 365. Daar zit een tooling in die combineert asset management van je Intune machines met CVE's. Waarbij je aan kan geven boven welke score je hier bericht van wilt krijgen. Dus je krijgt ook alleen maar meldingen van software die je hebt draaien. Werkt trouwens ook voor Linux.

CAPSLOCK2000

Beveiliging en antivirus
Google Chrome
Google

31 maart 2024 14:46

Ik hanteer de vuistregel "alle bugs zijn security bugs tot het tegendeel is bewezen".

Security is super ingewikkeld en vaak niet direct zichtbaar. Kleine bugs kunnen ingewikkelde gevolgen hebben die je haast niet kan overzien.

De meeste bugs worden sowieso nooit op security beoordeeld. Iemand ziet een foutje en verbetert het en dat is vijf minuten werk. Een security review zou uren of dagen kosten, dat wordt meestal dus niet gedaan.

Je kan heel lang gaan nadenken over security implicaties zjin of je kan je tijd gebruiken om te upgraden. Dat laatste is waarschijnlijk productiever.

d3burt

@CAPSLOCK2000 • 1 april 2024 12:10

Precies. Bovendien is er het probleem dat relatief kleine bugs in combinatie met andere kleine bugs een werkende aanvalsvector kunnen opleveren. Als je de analyse doorleest van de exploit chains die spyware als Pegasus of Predator gebruiken zie je daar zelden CVSS 9.8 vulnerabilities tussen, het is CVSS 6 plus CVSS 3 plus CVSS 6 = groot gat.

Windows updates en browser updates moet je religieus doorvoeren de dag dat ze uitkomen, juist om te voorkomen dat kleine kwetsbaarheden gaan stapelen. De tijd tussen het bekend worden van een bug en massaal misbruik bij onder andere phishing e-mails wordt steeds korter, omdat zowel ransomware bendes als APT's heel veel moeite steken in het ontwikkelen van exploits. Een recente dump (door waarschijnlijk een ontevreden medewerker) laat bijvoorbeeld zien hoe de Chinese overheid bedrijven inhuurt om dat te doen (Google op "I-Soon leak").

Het bezwaar van snel updaten is dat je daarmee ook de nieuwe features versneld binnen krijgt, waar weer nieuwe bugs in kunnen zitten. Firefox gebruikers kunnen daarom kiezen voor de ESR release, die eens per jaar nieuwe features krijgt en tussentijds alleen security updates. Ubuntu LTS (iedere twee jaar nieuwe features) is om diezelfde reden aantrekkelijk.

Vexxon 31 maart 2024 14:52

Google lijkt dit soort informatie alleen te geven als het om software van anderen gaat. Maar als het om Chromium houden ze ineens hun mond

aikebah 31 maart 2024 10:56

edit:verkeerde draadje

[Reactie gewijzigd door aikebah op 23 juli 2024 00:47]

Roel1966

31 maart 2024 22:35

Enigste wat je als gebruiker doen kan is zoveel mogelijk zorgen dat alle software up to date is maar vooral ook zelf alert blijven. Maar tja het maakt het hele surfen en internet er niet leuker op met al dat gedoe van hacks en spam en dergelijke.

bzuidgeest 1 april 2024 10:03

Nuldag??? Komt dit artikel uit de vertaal machine? Of is de schrijven iemand die tegen leen woordjes is.
Nuldag klinkt enorm fout.

pang-frang-punk @bzuidgeest • 1 april 2024 10:32

Niet alleen nuldag, het hele artikel voelt als een aliexpress vertaling.

Twixie @bzuidgeest • 1 april 2024 10:40

Maar dan wel exploit, triggeren, getrackt, enz.. gebruiken.
En een ‘bladeraar’. Serieus !?

EDIT: En ‘feedback’ naast de auteur is nu blijkbaar ook veranderd in ‘terugkoppeling’. Is dit een of andere DPG policy? Sorry hoor, maar als ik bij elk tech artikel ga moeten terugvertalen naar Engels om te weten waarover het gaat, ga ik wel elders mijn tech news halen. Trouwens, ‘submitter’ lijkt me dan ook allesbehale Nederlands.

[Reactie gewijzigd door Twixie op 23 juli 2024 00:47]

bzuidgeest @Twixie • 1 april 2024 11:23

Die feedback verandering had ik nog niet eens gezien. Ik moet zeggen dat terugkoppeling ten minste een normaal Nederlands woord is, maar Jeetje, dit is een tech platform.

Citroentjuh @bzuidgeest • 1 april 2024 11:42

Jongens het is 1 april vandaag hè

bzuidgeest @Citroentjuh • 1 april 2024 18:07

Ah ja, het idee van een goede grap is dat je er in trapt natuurlijk. Ik had het artikel van de grap niet eens gezien.

TheVivaldi

Google Chrome

@Twixie • 1 april 2024 11:47

Wat is er mis met “terugkoppeling”? Dat is gewoon een keurig Nederlands woord.

Twixie @TheVivaldi • 1 april 2024 11:54

Dat valt nog mee ja, maar het gaat er ook om dat er daar vroeger ‘Feedback’ stond, wat duidelijk aangeeft dat Tweakers blijkbaar bewust de vernederlandsing op gaat.

TheVivaldi

Google Chrome

@Twixie • 1 april 2024 11:55

En dat is mijns inziens alleen maar goed.

Twixie @TheVivaldi • 1 april 2024 12:09

Niet echt. We willen toch echt niet naar het Frans waar letterlijk elke technische term vertaald wordt. In een ver verleden had ik overigens ook een vak waar ook gewoon elke term vertaald werd.. CPU werd dan CVE (Centrale Verwerkingseenheid) en dat soort drollen.
Gevolg: er waren ook gewoon een hoop studenten die eigenlijk gewoon compleet de link niet begrepen met de terminologie die ze wel kenden uit media en reclame voor PCs e.d.

Maar bon, blijkbaar is het dus allemaal onderdeel van een grote aprilgrap.

TheVivaldi

Google Chrome

@Twixie • 1 april 2024 12:14

Als taalkundige en vertaler wil ik dat wél graag. Uiteraard op een betere manier dan deze grap, want er wordt nu teveel en te letterlijk vertaald, en sommige dingen die logisch zijn om te vertalen zijn niet vertaald.

“terugkoppeling” is zoiets wat van mij mag blijven, maar “nuldag” is natuurlijk raar. Prima om daar een vertaling voor te gaan zoeken, maar dan moet het wel een beter passende zijn en niet een letterlijke. Maar door creatief met taal te zijn, kun je hele mooie nieuwe woorden maken; ik doe dat ook geregeld. En dat is ook hoe het Nederlands werkte vóór de verengelsing.

bzuidgeest @TheVivaldi • 1 april 2024 18:09

Wat mij betreft gaan we allemaal Engels praten. Nederlands heeft zeker in de techniek afgedaan. En dat is geen 1 april grap.
In wetenschap en techniek will je een breed gesproken en begrepen taal. Dat is Engels, Spaans of Chinees.

salvw @bzuidgeest • 1 april 2024 11:43

1 april kikker in je bil!

Twixie @salvw • 1 april 2024 11:56

Daar dacht ik ook al aan, maar het is al niet de eerste keer dat courante termen vernederlandst worden. Ik betwijfel het dus dat dit een aprilgrap is, en als het al zo is, vind ik hem niet bepaald geslaagd.

salvw @Twixie • 1 april 2024 11:57

.plan: We stoppen de taalverloedering en omarmen het Nederlands vanaf nu voll...

Twixie @salvw • 1 april 2024 12:04

Thanks, dan toch...
Moet wel zeggen dat wie dat artikel ontgaan is, de grap wel direct een pak minder geslaagd is als je dan in andere artikels (zoals hier) ook de 'gevolgen' ervan ziet. Bovendien zou het ook gewoon écht kunnen, bewijs hier sommige reacties die vinden dat het juist prima is.
Maar op dit moment worden we dus op de gehele Tweakers site getrolld

MrFax @salvw • 1 april 2024 14:15

Ik dacht al. Ik heb nog nooit het woord "nuldag" horen zeggen.

FijneKnul @Twixie • 1 april 2024 12:02

Hij is voor mij wel geslaagd, want jij trapt er KEIHARD in.

uiltje @FijneKnul • 1 april 2024 17:05

Voor mij niet, want hij is slecht doorgevoerd. Er staan overal nog veel Engelse termen en sommige termen zijn soms wel en soms niet vertaald. Mag wel hopen dat ze alle artikelen hierna aanpassen.