Google repareert voor de negende keer in 2024 een zeroday in Chrome

Google heeft een Stable-release van Chrome 128 uitgebracht met daarin ook een fix voor een zeroday. Het gaat om een type-confusionfout in de V8-JavaScript-engine van Chrome. Volgens Google wordt de fout al actief misbruikt.

Aanvallers kunnen met een type-confusionfout de browser laten crashen, maar de fout is ook te gebruiken om op afstand eigen code uit te laten voeren op apparaten van slachtoffers. Dat is dus ook mogelijk met CVE-2024-7971, de negende zeroday in Chrome die in 2024 door Google is verholpen.

De fout wordt als hoog risico ingeschat, al geeft Google verder nog weinig informatie over het probleem. Pas nadat het merendeel van de gebruikers Chrome heeft geüpdatet, wil Google details over de fout vrijgeven, zo schrijft het bedrijf. De bug wordt gedicht in Chrome 128.0.6613.84 voor Linux en Chrome 128.0.6613.84/.85 voor Windows en macOS.

De nieuwe versie van Chrome bevat in totaal 38 beveiligingsfixes. Het gaat onder meer om fixes voor zes andere kwetsbaarheden die als hoog risico worden ingeschat, zoals een buffer-overflowfout in Fonts en een andere type-confusionfout in de V8-JavaScript-engine.

Reacties (23)

Blasterxp 22 augustus 2024 15:26

Ok, we blijven updaten.

Kevinp @Blasterxp • 22 augustus 2024 15:30

Tijd voor Firefox.

Niet alleen hier om, maar omdat meerdere browser engines goed zijn voor het internet.

(www.getfirefox.com) ;-).

CH4OS @Kevinp • 22 augustus 2024 15:44

Ik begrijp het punt niet helemaal (als Firefox gebruiker) om over te stappen omdat Chrome updates heeft. Sterker nog, Firefox heeft maandelijks ook iets van 3 releases (een versie en 2 patch releases) in de maand gemiddeld. Dus dan maar overstappen op iets anders, als je minder vaak updates wilt?

ByteArray @CH4OS • 22 augustus 2024 20:06

Maar hoeveel 'zero days' heeft Firefox? De meeste pleisters betreffen geen zero days.

Niet dat het aantal pleisters veel zegt, want misschien is de ene of andere browser ook wel pro-actiever in het oplossen van lekken.

Voordeel van Firefox is wel dat ze steeds meer Rust gebruiken wat bepaalde fouten geheel uitsluit indien er geen 'unsafe' gebruikt wordt.

[Reactie gewijzigd door ByteArray op 22 augustus 2024 20:09]

CH4OS @ByteArray • 22 augustus 2024 20:27

Hoeveel ze er hebben? Geen idee? Worden ze actief misbruikt ja of nee? Dat ze niet in een changelog voorbij komen, betekend niet dat ze niet bestaan voor Firefox. Ook Firefox heeft zero days als je ze opzoekt. Zero days zijn immers geld waard op diverse (zwarte) markten. Ook het gebruik van Rust kan natuurlijk mettertijd ook een gatenkaas worden, zie Flash bijvoorbeeld, dat was eerst ook je van het, tot het een gatenkaas werd.

ByteArray @CH4OS • 22 augustus 2024 21:55

Flash Player was geschreven in C++, niet in Rust.

Rust zorgt er onder andere voor dat een bufferoverloop niet meer mogelijk is terwijl je wel de prestatievoordelen van C en C++ behoudt. Het grootste gedeelte van de ernstige lekken komt door het maken van fouten met handmatig geheugenbeheer. Een bufferoverloop kan er voor zorgen dat je code kunt injecteren in een draaiend proces dat daarna mogelijk wordt uitgevoerd op de computer van het slachtoffer. Geheugenveilige talen voorkomen dit.

[Reactie gewijzigd door ByteArray op 22 augustus 2024 21:59]

CH4OS @ByteArray • 22 augustus 2024 23:41

Flash was al dood voordat Rust goed en wel doorgebroken was, dus dat Flash niet in Rust geschreven is snap ik. Maar dat doet niet onder voor mijn punt. Flash was ook super populair voordat het daadwerkelijk een gatenkaas werd, wie zegt dat het dus niet ook met Rust kan gebeuren? Als het niet linksom kan, dan vindt men rechtsom wel wat.

ByteArray @CH4OS • 22 augustus 2024 23:45

Rust zou alleen minder veilig worden als mensen bewust vaak 'unsafe' gaan gebruiken, in dat geval worden RCE's mogelijk, anders zijn ze uitgesloten wat Rust-code betreft.

CivLord

@ByteArray • 23 augustus 2024 09:25

In Rust zijn bepaalde vectoren die bij andere talen voor problemen zorgen afgedicht.
Maar wie zegt da wanneer iedereen zijn/ haar aandacht p Rust gaat richten om lekken te vinden er niet een compleet nieuwe vector ontdekt wordt die erg lastig te dichten is en waardoor programmeurs daar lastige work-arounds voor moeten maken, terwijl veel reeds bestaande in Rust geprogrammeerde programma's daar al vatbaar voor zijn.
(En wie zegt dat een dergelijke vector niet al bij een bepaalde partij bekend is en misbruikt wordt, terwijl de rest van de wereld daar nog geen weet van heeft?)

ByteArray @CivLord • 23 augustus 2024 13:58

Alles kan, misschien is AES of ChaCha20 ook wel lek, dus ook maar niet meer gebruiken? Gewoon alles onversleuteld over het internet? Maar over het algemeen wordt Rust beschouwd als een veiligere taal door veiligheidsexperts dan C(++) en dergelijke. Ik ga uit van hun expertise. Rust is ook niet meer nieuw en wordt steeds meer gebruikt, dus ik verwacht net als bij AES of ChaCha20 geen doorbraken op dat vlak.

CivLord

@ByteArray • 24 augustus 2024 11:40

Ik zeg niet dat jet het niet moet gebruiken omdat er waarschijnlijk andere mogelijkheden in zitten voor lekken. Ik zeg dat je niet aan moet nemen dat een programma inherent veilig is door het gebruik van Rust. Het is op dit moment enkel makkelijker om veilig in Rust te programmeren dan in C(++).

RxTweak @Kevinp • 22 augustus 2024 16:10

Ik betwijfel dat meerdere browser engines goed zijn voor het internet. Je kunt beter 1 tank van een engine hebben met first class support, dan 10 brakke engines lijkt mij.

[Reactie gewijzigd door RxTweak op 22 augustus 2024 16:11]

ManIkWeet @RxTweak • 22 augustus 2024 16:25

Wie bepaald welke nieuwe functies erin komen? Of welke bestaande functies eruit gaan? (manifest v3 wat 't moeilijker maakt voor adblockers als voorbeeld).

Nou is het opensource en kan iedereen zijn eigen variant maken, maar dan versnipper je de boel ook weer met 10 brakke engines dus komt het op hetzelfde neer.

Kevinp @RxTweak • 22 augustus 2024 16:15

één woord: IE6.

Ja in theorie zou een mooi zijn, maar helaas werkt het niet zo.

In theorie werkt communisme ook heel goed. één goede leider die bepaald wat er gebeurd. Iedereen een mooi salaris om van te leven.

In de praktijk is gebleken dat dit toch niet zo goed werkt.

SunnieNL

@Kevinp • 22 augustus 2024 16:49

ik tel bij FF nu in 2024 9x een 9.8 CVE op memory curruption, 3 XSS en 1 overflow van 8.9
4 ervan weet ik zeker dat het zero days waren.

Dus ja, meerdere engines zijn beter voor het internet. Maar nee, je bent er niet veiliger door.

Kevinp @SunnieNL • 22 augustus 2024 19:43

Momenteel wel. En dat komt omdat het exploiten van een chrome lek veel interessanter is. Tenzij een lek in Firefox heel groot is.

Dat gezegd hebbende als Firefox weer richting de 20 of 30 procent weet te klimmen zal dat weer aandacht trekken.

410Gone @Blasterxp • 22 augustus 2024 15:30

Ik niet meer sinds bekend is dat Chome uBlock Origin niet meer gaat ondersteunen.

Back to Firefox.

Grimm @Blasterxp • 22 augustus 2024 15:40

Ik blijf Firefox updaten

DD-IRM @Blasterxp • 22 augustus 2024 16:23

Ik blijf bij Firefox

Niet vanwege de updates (Firefox heeft ze ook, maar die gaan vrij geruisloos) maar als het even kan probeer ik de Google Spyware zoveel mogelijk te beperken...

[Reactie gewijzigd door DD-IRM op 22 augustus 2024 16:23]

Wim De Winter @DD-IRM • 22 augustus 2024 18:01

Tip: https://github.com/ungoogled-software/ungoogled-chromium

webhalla @Blasterxp • 23 augustus 2024 01:39

Hmmm edge komt ook met een upgrade naar Version 128.0.2739.42 (Official build) (64-bit)

LieveGeit 22 augustus 2024 19:01

Gelden deze zerodays ook voor de Android versie van Chrome?

mutley69 23 augustus 2024 13:49

Iedereen op chrome - of op chrome-gebaseerde browsers - wel dan ga ik nog liever over op kleitabletten dan dat te doen! Veel schiet er niet over.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (23)

Sorteer op:

Weergave: