Nieuws Onderzoekers tonen zerodaylekken in Chrome, Safari en Edge

Aarie25

Moderator
Ondersteuning
Lid geworden
4 jul 2018
Berichten
864
Waarderingsscore
304
Punten
63
Leeftijd
39
Hopelijk worden de lekken snel gedicht.

Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen.

De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Gisteren was de eerste dag van het evenement, vandaag vindt dag twee plaats. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar voor het demonstreren van onbekende kwetsbaarheden.

De wedstrijd begon met verschillende aanvallen tegen Edge, gevolgd door Chrome en Safari. Alle drie de browsers sneuvelden. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website met een volledig gepatchte versie van Chrome, Edge of Safari is voldoende om een aanvaller toegang tot het systeem te geven. Er is geen verdere interactie van gebruikers vereist en er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar gemaakt. Mozilla Firefox maakte geen deel uit van de wedstrijd.

Drie verschillende onderzoeksteams wisten Microsoft Edge te compromitteren. Team "ddd", dat eerder Edge compromitteerde, demonstreerde ook een succesvolle zerodayaanval tegen Google Chrome. Ook een ander team kreeg Googles browser op de knieën. Vier teams probeerden vervolgens een aanval tegen Apple Safari te laten zien, maar drie daarvan gaven op. Team "StackLeader" slaagde er wel in om Apples browser succesvol aan te vallen.

Bij de demonstratie van een zerodayaanval tegen Adobe Reader was StackLeader wederom succesvol, alsmede een ander team. Uiteindelijk moest ook Microsoft Office 365 ProPlus eraan geloven. Via een kwaadaardig rtf-document blijkt het mogelijk om willekeurige code uit te voeren en de ProtectionView-maatregel van de software deels te omzeilen. Verder toonden drie verschillende teams zerodaylekken in de D-Link DIR-878. Alle betrokken leveranciers en partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.

Bron Security.nl
 

Aarie25

Moderator
Ondersteuning
Lid geworden
4 jul 2018
Berichten
864
Waarderingsscore
304
Punten
63
Leeftijd
39
Ja dat snap ik ook niet, test dan gewoon alle browsers.
 

Aarie25

Moderator
Ondersteuning
Lid geworden
4 jul 2018
Berichten
864
Waarderingsscore
304
Punten
63
Leeftijd
39
Ik zou ook niet weten waarom Firefox niet mee is genomen.
Want er zal vast een lek in te vinden zijn.
Misschien dat ze de aantal gebruikers te weinig vinden?
 

Black Tiger

Enthousiast
Lid geworden
6 aug 2018
Berichten
2.397
Waarderingsscore
386
Punten
83
Website
www.satellitefun.org
Het aantal gebruikers te weinig? Dat zou kunnen maar dan vraag ik me af waarom ze Edge wel meenemen want die heeft er nog minder dan Firefox.
Of hebben bedacht, de meest gebruikte browser en dan de standaard OS browsers. Anders kan ik me geen reden bedenken.
 

Aarie25

Moderator
Ondersteuning
Lid geworden
4 jul 2018
Berichten
864
Waarderingsscore
304
Punten
63
Leeftijd
39
Ja dat zou ook kunnen, jammer dat de reden niet bekent is.
Want ik zou Firefox gewoon mee testen.
 

Roxmarie

Bekend gezicht
Lid geworden
28 mei 2019
Berichten
868
Waarderingsscore
385
Punten
63
Inderdaad jammer dat Firefox er niet bij zat, die gebruik ik verreweg het meest.
 

tfj

Junior lid
Lid geworden
9 nov 2019
Berichten
47
Waarderingsscore
24
Punten
8
Leeftijd
19
Nou dat is geruststellend...
 

Aarie25

Moderator
Ondersteuning
Lid geworden
4 jul 2018
Berichten
864
Waarderingsscore
304
Punten
63
Leeftijd
39
Google heeft een nieuwe versie uitgebracht, waar 5 lekken zijn gedicht, waarvan er 2 van externe onderzoekers is.
Onduidelijk is of het om de lekken gaat die hier boven zijn vermeld.
Versie 78.0.3904.108 is nu de laatste.

Deze update bevat 5 beveiligingsfixes. Hieronder belichten we oplossingen die zijn aangebracht door externe onderzoekers. Raadpleeg de Chrome-beveiligingspagina voor meer informatie.

[$ TBD] [ 1024121 ] Hoog CVE-2019-13723: Gebruik-na-gratis in Bluetooth. Gerapporteerd door Yuxiang Li (@ Xbalien29) van Tencent Blade Team op 13-11-2019
[$ TBD] [ 1024116 ] Hoge CVE-2019-13724: Verboden toegang in Bluetooth. Gerapporteerd door Yuxiang Li (@ Xbalien29) van Tencent Blade Team op 13-11-2019
 
Bovenaan Onderaan