Nieuwe Google Chrome versie 124 verhelpt 22 beveiligingslekken

Abraham54

Administrator
Forumleiding
Lid geworden
2 augustus 2016
Berichten
35.159
Punten
113
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall

Google Chrome versie 124 verhelpt 22 beveiligingslekken​

Google heeft de nieuwe grote versie Chrome 124 voor iedereen vrijgegeven.
De ontwikkelaars hebben een aantal beveiligingslekken gedicht. De nieuwe browserversie kan nu worden gedownload

Met de nieuwe Chrome-versies 124.0.6367.60/61 voor Windows en macOS en 124.0.6367.60 voor Linux vanaf 16 april heeft Google 22 kwetsbaarheden in zijn browser verholpen. Tot nu toe is geen van deze kwetsbaarheden misbruikt voor aanvallen. Chrome 124 biedt geen nieuwe functies voor gebruikers. Fabrikanten van andere op Chromium gebaseerde browsers hebben dit voorbeeld nog niet gevolgd, maar zullen dit in de nabije toekomst wel doen.

In de Chrome Release Blog geeft Daniel Yip een overzicht van de 13 van de 22 kwetsbaarheden die zijn ontdekt door externe beveiligingsonderzoekers en gemeld aan Google. Google classificeert drie van deze kwetsbaarheden als hoog risico. Nog eens zes kwetsbaarheden worden geclassificeerd als gemiddeld risico. Een of twee van deze kwetsbaarheden kunnen worden gebruikt om code te injecteren en uit te voeren. Google heeft de ontdekkers tot nu toe beloningen toegekend van in totaal 65.000 Amerikaanse dollar. Google geeft geen informatie over intern ontdekte kwetsbaarheden.

In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. U kunt de updatecontrole handmatig starten via de menuoptie " Help " Over Google Chrome (alternatief: " Instellingen " Over Google Chrome). Google heeft ook Chrome voor Android 124.0.6367.54 en Chrome voor iOS 124.0.6367.68 uitgebracht.
Andere op Chromium gebaseerde browsers

De fabrikanten van andere Chromium-gebaseerde browsers moeten nu opnieuw snel volgen met updates.

Geen van hen heeft al de overstap naar Chromium 124 gemaakt. Microsoft Edge, Brave en Vivaldi zitten echter wel op het beveiligingsniveau van voor deze Chrome-update. Opera loopt nog steeds één update achter.

Zie ook:
 

Update 19 april - Brave en Edge​

Brave heeft op 18 april de nieuwe browserversie 1.65.114 uitgebracht, waarmee de overstap naar Chromium 124 is voltooid. Microsoft volgde 's avonds en bracht een update uit naar Edge 124.0.2478.51. Deze is ook gebaseerd op Chromium 124 en verhelpt drie Edge-specifieke kwetsbaarheden

Zie ook:
 
Met de nieuwe Chrome versies 124.0.6367.78/79 voor Windows en macOS en 124.0.6367.78 voor Linux vanaf 23 april heeft Google vier kwetsbaarheden in zijn browser verholpen. De update was dinsdagavond al beschikbaar, maar Google publiceerde er pas later vandaag (Europese tijd) informatie over. Volgens deze update is geen van deze kwetsbaarheden tot nu toe misbruikt voor aanvallen. Fabrikanten van andere Chromium-gebaseerde browsers hebben dit voorbeeld nog niet gevolgd, maar zullen dit in de nabije toekomst wel doen.

In de Chrome Release Blog somt Daniel Yip drie van de vier kwetsbaarheden op die zijn ontdekt door externe beveiligingsonderzoekers en gemeld aan Google. Google classificeert een van deze kwetsbaarheden (CVE-2024-4058) als kritiek. Dit is een typefout in de grafische interface van Angle. De ontdekker ontvangt een beloning van 16.000 Amerikaanse dollar.

Twee andere beveiligingsproblemen zijn geclassificeerd als hoog risico. Ze hebben betrekking op de Javascript-engine V8 en de WebGPU-implementatie Dawn. Een van deze gaten zou kunnen worden gebruikt om code te injecteren en uit te voeren. Google geeft geen informatie over de intern ontdekte kwetsbaarheid.

In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome (alternativ: » Einstellungen » Über Google Chrome) können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 124.0.6367.82 und Chrome für iOS 124.0.6367.88 veröffentlicht.

De fabrikanten van andere Chromium-gebaseerde browsers moeten nu weer snel volgen met updates. Tot nu toe hebben alleen Brave en Microsoft (Edge) de overstap naar Chromium 124 gemaakt. Zij zitten dus op het beveiligingsniveau van voor deze Chrome-update. Google heeft Chrome 124 vorige week uitgebracht.

Vivaldi heeft een dubbele generatiewissel voltooid met de nieuwe browserversie 6.7.3329.17. Vivaldi stapt over van versie 6.6 naar 6.7 en daarmee van Chromium 122 naar Chromium 124. De nieuwe browser heeft een optionele geheugenbesparingsfunctie (“Memory Saver”). Als deze geactiveerd is (Instellingen “ Tabbladen), maakt Vivaldi geheugengebieden vrij die lange tijd niet gebruikt zijn. Deze kunnen nog steeds snel opnieuw worden geladen als dat nodig is.

Brave heeft nu ook een passende update gelanceerd en de eerder bekende beveiligingslekken gedicht met versie 1.65.122. Naast de Chromium-update hebben de ontwikkelaars van Brave ook tijd gestoken in het oplossen van andere bugs.


 
Update 30 april: updates voor Chrome, Brave, Edge, Vivaldi

Google heeft eind vorige week een update toegevoegd aan Chrome versie 124.0.6367.91/92, maar zonder een bericht te publiceren op de release blog. Het blijft onduidelijk welke veranderingen de update met zich meebrengt.

Vermoedelijk zijn er bugs verholpen en/of regressies doorgevoerd. Brave reageerde snel en bracht een update uit naar versie 1.65.123. Vrijdagavond heeft Microsoft ook zijn Edge-browser bijgewerkt en de nieuwere Chromium-update geïntegreerd. Volgens de fabrikant lost Vivaldi 6.7.3329.21 zijn eigen bugs op, de Chromium-versie is niet veranderd. Opera loopt nog steeds achter.


 

Google dicht nog twee Chrome-lekken​

Google heeft een nieuwe beveiligingsupdate uitgebracht voor zijn Chrome-browser. Hierin hebben de ontwikkelaars twee kwetsbaarheden met een hoog risico verholpen. Er zijn ook nieuwe Chrome-updates beschikbaar voor Android.

Met de nieuwe Chrome-versies 124.0.6367.118/119 voor Windows en macOS en 124.0.6367.118 voor Linux vanaf 30 april, patcht Google twee beveiligingslekken in zijn browser. Voor zover bekend is geen van deze kwetsbaarheden tot op heden misbruikt voor aanvallen. Fabrikanten van andere Chromium-gebaseerde browsers zullen waarschijnlijk in de nabije toekomst volgen.

In de Chrome Release Blog geeft Daniel Yip een overzicht van de twee kwetsbaarheden die zijn ontdekt door externe beveiligingsonderzoekers en gemeld aan Google. Google categoriseert beide kwetsbaarheden als hoog risico. Het gaat om 'use-after-free'-kwetsbaarheden in de Picture in Picture-module en in de Dawn-component (WebGPU-implementatie). De kwetsbaarheden kunnen worden gebruikt om code te injecteren en uit te voeren.

In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. U kunt de updatecontrole handmatig starten via de menuoptie “ Help ‘ Over Google Chrome (alternatief: ’ Instellingen ” Over Google Chrome). Google heeft ook Chrome voor Android 124.0.6367.113 en Chrome voor iOS 124.0.6367.111 uitgebracht.

Andere Chromium-gebaseerde browsers​

De fabrikanten van andere Chromium-gebaseerde browsers moeten nu snel volgen met updates. Brave, Microsoft (Edge) en Vivaldi hebben de overstap naar Chromium 124 al gemaakt. Edge en Vivaldi zijn ook op het beveiligingsniveau van voor deze Chrome-update met de nieuwste updates.

Brave heeft daarentegen een update naar versie 1.65.126 uitgebracht om de nieuwe gaten te dichten ondanks de Dag van de Arbeid.

De huidige versie Opera One 109.0.5097.68 is nog steeds gebaseerd op Chromium 123.0.6312.124. Opera 110 op basis van Chromium 124 bevindt zich nog in de beste testfase. Opera loopt daarom al drie beveiligingsupdates achter. Een jaar geleden zette Opera een grote stap voorwaarts in dit opzicht, maar lijkt nu weer terug te vallen in de oude sleur.

Update 3 mei: Vivaldi & Edge zijn beveiligd​

Vivaldi heeft op 2 mei een browserupdate uitgebracht naar de bijgewerkte versie 6.7.3329.24. Deze is al gebaseerd op Chromium 124.0.6367.123. De ontwikkelaars hebben ook een paar zelfgemaakte bugs verholpen. In de avond van dezelfde dag heeft Microsoft ook zijn Edge-browser geüpdatet. Net als Brave is Edge 124.0.2478.80 gebaseerd op Chromium 124.0.6367.118. Microsoft claimt ook een aantal verbeteringen te hebben aangebracht.


 

Noodupdate: Google dicht 0-day gat in Chrome​

Google heeft een noodupdate uitgebracht voor zijn Chrome-browser. Hierin hebben de ontwikkelaars een kwetsbaarheid met een hoog risico verholpen die al wordt gebruikt voor aanvallen.

Met de tweede Chrome-update van deze week en de nieuwe Chrome-versies 124.0.6367.201/202 voor Windows en macOS en 124.0.6367.201 voor Linux vanaf 9 mei, dicht Google nog een kwetsbaarheid in zijn browser. Deze kwetsbaarheid wordt al misbruikt voor aanvallen. Fabrikanten van andere Chromium-gebaseerde browsers moeten daarom dringend volgen.

In de Chrome Release Blog geeft Daniel Yip summiere informatie over de kwetsbaarheid CVE-2024-4671, die werd ontdekt door een anonieme beveiligingsonderzoeker en op 7 mei aan Google werd gemeld. Google classificeert de kwetsbaarheid als hoog risico. Het is een use-after-free kwetsbaarheid in de Visuals component. De kwetsbaarheid kan worden gebruikt om code te injecteren en uit te voeren - en blijkbaar is dit al het geval.

Google had slechts twee dagen eerder een beveiligingsupdate voor Chrome uitgebracht. In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. Je kunt de updatecontrole handmatig starten via het menu-item “ Help ‘ Over Google Chrome (of anders: ’ Instellingen ” Over Google Chrome).

Chrome 125 staat al in de startblokken. Google verspreidt het sinds 8 mei onder een klein aantal gebruikers. Er zijn versies beschikbaar voor Windows, macOS, Android en iOS.
Volgende week dinsdag, 14 mei, is Google van plan Chrome 125 voor iedereen uit te brengen.

Andere Chromium-gebaseerde browsers​

De fabrikanten van andere Chromium-gebaseerde browsers worden nu opnieuw opgeroepen om snel te volgen met updates - het liefst nog voor het weekend. Brave en Vivaldi hebben op 8 mei updates beschikbaar gesteld en zitten daarmee op het beveiligingsniveau van voor deze Chrome-update. Microsoft (Edge) heeft deze stap nog niet genomen en zit nog steeds vast op de status van vorige week. Microsoft zou echter twee vliegen in één klap kunnen slaan en een update (die vermoedelijk al bijna klaar is) overslaan. Het blogbericht van 9 mei ondersteunt deze veronderstelling.

De huidige versie Opera One 109.0.5097.80 is nog steeds gebaseerd op Chromium 123.0.6312.124. Opera 110 op basis van Chromium 124 bevindt zich nog in de bètatestfase - en Chrome 125 volgt over een week. Opera loopt dus al vijf beveiligingsupdates achter. Nadat de Noren een jaar geleden een grote stap voorwaarts maakten op dit gebied, vallen ze nu blijkbaar terug in de oude sleur. Hopelijk motiveert de 0-dagen achterstand Opera om zijn gebruikers eindelijk te voorzien van een beveiligingsupdate in plaats van te sleutelen aan zogenaamd belangrijke “AI”-functies.

Zie ook:
 

Noodupdate: Google dicht 0-day gat in Chrome​

Google heeft een noodupdate uitgebracht voor zijn Chrome-browser. Hierin hebben de ontwikkelaars een kwetsbaarheid met een hoog risico verholpen die al wordt gebruikt voor aanvallen.

Met de tweede Chrome-update van deze week en de nieuwe Chrome-versies 124.0.6367.201/202 voor Windows en macOS en 124.0.6367.201 voor Linux vanaf 9 mei, dicht Google nog een kwetsbaarheid in zijn browser. Deze kwetsbaarheid wordt al misbruikt voor aanvallen. Fabrikanten van andere Chromium-gebaseerde browsers moeten daarom dringend volgen.

In de Chrome Release Blog geeft Daniel Yip summiere informatie over de kwetsbaarheid CVE-2024-4671, die werd ontdekt door een anonieme beveiligingsonderzoeker en op 7 mei aan Google werd gemeld. Google classificeert de kwetsbaarheid als hoog risico. Het is een use-after-free kwetsbaarheid in de Visuals component. De kwetsbaarheid kan worden gebruikt om code te injecteren en uit te voeren - en blijkbaar is dit al het geval.

Google had slechts twee dagen eerder een beveiligingsupdate voor Chrome uitgebracht. In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. Je kunt de updatecontrole handmatig starten via het menu-item “ Help ‘ Over Google Chrome (of anders: ’ Instellingen ” Over Google Chrome).

Chrome 125 staat al in de startblokken. Google verspreidt het sinds 8 mei onder een klein aantal gebruikers. Er zijn versies beschikbaar voor Windows, macOS, Android en iOS.
Volgende week dinsdag, 14 mei, is Google van plan Chrome 125 voor iedereen uit te brengen.

Andere Chromium-gebaseerde browsers​

De fabrikanten van andere Chromium-gebaseerde browsers worden nu opnieuw opgeroepen om snel te volgen met updates - het liefst nog voor het weekend. Brave en Vivaldi hebben op 8 mei updates beschikbaar gesteld en zitten daarmee op het beveiligingsniveau van voor deze Chrome-update. Microsoft (Edge) heeft deze stap nog niet genomen en zit nog steeds vast op de status van vorige week. Microsoft zou echter twee vliegen in één klap kunnen slaan en een update (die vermoedelijk al bijna klaar is) overslaan. Het blogbericht van 9 mei ondersteunt deze veronderstelling.

De huidige versie Opera One 109.0.5097.80 is nog steeds gebaseerd op Chromium 123.0.6312.124. Opera 110 op basis van Chromium 124 bevindt zich nog in de bètatestfase - en Chrome 125 volgt over een week. Opera loopt dus al vijf beveiligingsupdates achter. Nadat de Noren een jaar geleden een grote stap voorwaarts maakten op dit gebied, vallen ze nu blijkbaar terug in de oude sleur. Hopelijk motiveert de 0-dagen achterstand Opera om zijn gebruikers eindelijk te voorzien van een beveiligingsupdate in plaats van te sleutelen aan zogenaamd belangrijke “AI”-functies.

Zie ook:
 
Update 13 mei

Op 10 mei bracht Brave en een paar uur later ook Microsoft browserupdates uit om de 0-day kwetsbaarheid te verhelpen. Met Edge 124.0.2478.97 heeft Microsoft ook de Chromium-kwetsbaarheden uit de vorige update verholpen. De ontwikkelaars van Microsoft hebben ook een Edge-specifiek lek gedicht (CVE-2024-30055 - risico: laag). Google heeft Chrome 124.0.6367.171 uitgebracht voor Android. Deze dicht ook de 0-day kwetsbaarheid CVE-2024-4671.

Vivaldi heeft zaterdag ook gewerkt aan het beschikbaar maken van de update naar versie 6.7.3329.27. Opera daarentegen vertoont nog steeds geen tekenen van inspanningen om de beveiligingslekken te dichten die de afgelopen weken zijn opgedoken.


Gerelateerd:
 

Noodupdate voor Google Chrome verhelpt 6e zero-day die in 2024 is uitgebuit​

Een dag voor de release van de nieuwe hoofdversie van Chrome, versie 125, heeft Google een noodupdate uitgebracht voor Chrome 124 om een tweede 0-day kwetsbaarheid te dichten. Met de nieuwe Chrome-versies 124.0.6367.207/208 voor Windows en macOS en 124.0.6367.207 voor Linux vanaf 13 mei dicht Google nog een beveiligingslek in zijn browser. Deze kwetsbaarheid wordt al misbruikt voor aanvallen. Fabrikanten van andere Chromium-gebaseerde browsers moeten daarom dringend volgen - Vivaldi loopt voorop.

In de Chrome Release Blog geeft Daniel Yip weinig informatie over de kwetsbaarheid CVE-2024-4761, die werd ontdekt door een anonieme beveiligingsonderzoeker en op 9 mei aan Google werd gemeld. Google classificeert de kwetsbaarheid als hoog risico. Het gaat om illegale schrijftoegang in de Javascript engine V8. De kwetsbaarheid kan worden gebruikt om code te injecteren en uit te voeren - wat blijkbaar al het geval is.

Google heeft pas op 9 mei een noodupdate voor Chrome uitgebracht. In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. Je kunt de updatecontrole handmatig starten via het menu-item “ Help ‘ Over Google Chrome (alternatief: ’ Instellingen ” Over Google Chrome). Google heeft ook Chrome voor Android 124.0.6367.179 uitgebracht, waarmee hetzelfde lek wordt verholpen.

Chrome 125 staat al in de startblokken. Google verspreidt het sinds 8 mei onder een klein aantal gebruikers. Tot nu toe zijn er versies voor Windows, macOS, Android en iOS beschikbaar.
Google is van plan Chrome 125 vanavond voor iedereen uit te brengen.


Gerelateerd:
 
Terug
Bovenaan Onderaan