• Hallo en welkom op Piepcomp Support (PCS).

    We hebben experts op alle gebieden, inclusief Malware Removal, crash fixing en BSOD's, Microsoft Windows, computer DIY en PC hardware,
    netwerken, gaming, tablets en smartphones, algemene en specifieke software ondersteuning en nog veel meer.

    Waarom klik je niet hier om je aan te melden en te beginnen met het genieten van geweldige GRATIS technische ondersteuning.

Onderzoekers tonen zerodaylekken in Chrome, Safari en Edge

Aarie25

Moderator
Teamlid
Berichten
1.392
OS
Windows 10
AV
Windows Defender
FW
Windows
Hopelijk worden de lekken snel gedicht.

Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen.

De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Gisteren was de eerste dag van het evenement, vandaag vindt dag twee plaats. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar voor het demonstreren van onbekende kwetsbaarheden.

De wedstrijd begon met verschillende aanvallen tegen Edge, gevolgd door Chrome en Safari. Alle drie de browsers sneuvelden. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website met een volledig gepatchte versie van Chrome, Edge of Safari is voldoende om een aanvaller toegang tot het systeem te geven. Er is geen verdere interactie van gebruikers vereist en er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar gemaakt. Mozilla Firefox maakte geen deel uit van de wedstrijd.

Drie verschillende onderzoeksteams wisten Microsoft Edge te compromitteren. Team "ddd", dat eerder Edge compromitteerde, demonstreerde ook een succesvolle zerodayaanval tegen Google Chrome. Ook een ander team kreeg Googles browser op de knieën. Vier teams probeerden vervolgens een aanval tegen Apple Safari te laten zien, maar drie daarvan gaven op. Team "StackLeader" slaagde er wel in om Apples browser succesvol aan te vallen.

Bij de demonstratie van een zerodayaanval tegen Adobe Reader was StackLeader wederom succesvol, alsmede een ander team. Uiteindelijk moest ook Microsoft Office 365 ProPlus eraan geloven. Via een kwaadaardig rtf-document blijkt het mogelijk om willekeurige code uit te voeren en de ProtectionView-maatregel van de software deels te omzeilen. Verder toonden drie verschillende teams zerodaylekken in de D-Link DIR-878. Alle betrokken leveranciers en partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.

Bron Security.nl
 

Black Tiger

Senior
Berichten
3.378
OS
Windows 10 Pro
AV
AVG
FW
Windows Firewall
Wel jammer dat Firefox geen deel uit maakte van de wedstrijd. Was toch mooi geweest.
 

Aarie25

Moderator
Teamlid
Berichten
1.392
OS
Windows 10
AV
Windows Defender
FW
Windows
Ik zou ook niet weten waarom Firefox niet mee is genomen.
Want er zal vast een lek in te vinden zijn.
Misschien dat ze de aantal gebruikers te weinig vinden?
 

Black Tiger

Senior
Berichten
3.378
OS
Windows 10 Pro
AV
AVG
FW
Windows Firewall
Het aantal gebruikers te weinig? Dat zou kunnen maar dan vraag ik me af waarom ze Edge wel meenemen want die heeft er nog minder dan Firefox.
Of hebben bedacht, de meest gebruikte browser en dan de standaard OS browsers. Anders kan ik me geen reden bedenken.
 

Aarie25

Moderator
Teamlid
Berichten
1.392
OS
Windows 10
AV
Windows Defender
FW
Windows
Ja dat zou ook kunnen, jammer dat de reden niet bekent is.
Want ik zou Firefox gewoon mee testen.
 

Roxmarie

Enthousiast
Bekend gezicht
Berichten
2.224
OS
Windows 10 home
AV
Kaspersky Security Cloud
FW
Windows beveiliging
Inderdaad jammer dat Firefox er niet bij zat, die gebruik ik verreweg het meest.
 

Aarie25

Moderator
Teamlid
Berichten
1.392
OS
Windows 10
AV
Windows Defender
FW
Windows
Google heeft een nieuwe versie uitgebracht, waar 5 lekken zijn gedicht, waarvan er 2 van externe onderzoekers is.
Onduidelijk is of het om de lekken gaat die hier boven zijn vermeld.
Versie 78.0.3904.108 is nu de laatste.

Deze update bevat 5 beveiligingsfixes. Hieronder belichten we oplossingen die zijn aangebracht door externe onderzoekers. Raadpleeg de Chrome-beveiligingspagina voor meer informatie.

[$ TBD] [ 1024121 ] Hoog CVE-2019-13723: Gebruik-na-gratis in Bluetooth. Gerapporteerd door Yuxiang Li (@ Xbalien29) van Tencent Blade Team op 13-11-2019
[$ TBD] [ 1024116 ] Hoge CVE-2019-13724: Verboden toegang in Bluetooth. Gerapporteerd door Yuxiang Li (@ Xbalien29) van Tencent Blade Team op 13-11-2019
 
Bovenaan Onderaan