Update voor Chrome 123 verhelpt 12 kwetsbaarheden in de browser

Abraham54

Administrator
Forumleiding
Lid geworden
2 aug 2016
Berichten
34.578
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall

Update voor Chrome 123 verhelpt 12 kwetsbaarheden in de browser​

De ontwikkelaars van Google hebben verschillende beveiligingslekken gedicht in de nieuwe grote versie Chrome 123.
De nieuwe browserversie kan nu worden gedownload, ook voor Android en iOS.

Met de nieuwe Chrome-versies 123.0.6312.58/59 voor Windows en macOS en 123.0.6312.58 voor Linux vanaf 19 maart
verhelpt Google 12 kwetsbaarheden in zijn browser. Tot nu toe is geen van deze kwetsbaarheden misbruikt voor aanvallen.
Fabrikanten van andere Chromium-gebaseerde browsers hebben dit voorbeeld nog niet gevolgd, maar zullen dit in de
nabije toekomst wel doen.

In de Chrome Release Blog geeft Srinivas Sista een overzicht van de zeven van de 12 kwetsbaarheden die zijn ontdekt
door externe beveiligingsonderzoekers en gemeld aan Google. Google classificeert een van deze kwetsbaarheden
(CVE-2024-2625) als hoog risico. Deze bevindt zich in de Javascript-engine V8.
Nog eens vijf kwetsbaarheden zijn geclassificeerd als gemiddeld risico. Een of twee van deze kwetsbaarheden kunnen
worden gebruikt om code te injecteren en uit te voeren.
Google heeft de ontdekkers beloningen toegekend van in totaal 22.000 Amerikaanse dollar.
Google geeft geen informatie over intern ontdekte kwetsbaarheden.

Chrome 123 bevat geen nieuwe functies.
In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is.
U kunt de updatecontrole handmatig starten via de menuoptie ⋮ Help " Over Google Chrome (alternatief: " Instellingen "
Over Google Chrome).
Google heeft ook Chrome voor Android 123.0.6312.40 en Chrome voor iOS 123.0.6312.52 uitgebracht.

Andere op Chromium gebaseerde browsers​

De fabrikanten van andere Chromium-gebaseerde browsers moeten nu opnieuw snel volgen met updates.
Tot nu toe heeft nog niemand de overstap naar Chromium 123 gemaakt. Microsoft Edge, Brave en Vivaldi zitten echter op
het beveiligingsniveau van voor deze Chrome-update. Opera loopt nog steeds één update achter.

Update 21 maart​

Vivaldi heeft zijn browser bijgewerkt om de beveiligingslekken te dichten die bekend zijn geworden.
Net als in voorgaande jaren negeert Vivaldi de vreemde Chromium-generaties (zoals 123) en vertrouwt in plaats
daarvan op het Extended Stable Channel van de voorganger - en dat is precies waar het voor bedoeld is.
Vivaldi 6.6.3271.53 is dus gebaseerd op Chromium 122.0.6261.141, maar is wel beveiligd.

Brave daarentegen is overgestapt op Chromium 123 en heeft zijn browser uitgebracht in de nieuwe versie 1.64.109.
De ontwikkelaars hebben ook een aantal functies verbeterd en bugs gecorrigeerd.


Zie ook:
 

Update 28 maart​

Op 27 maart bracht Vivaldi een update uit naar browserversie 6.6.3271.55, die is gebaseerd op Chromium 122.0.6261.150.
Brave volgde met een update naar versie 1.64.113, gebaseerd op Chromium 123.0.6312.86.
Op dezelfde dag voltooide Opera de overstap naar Chromium 123 met Opera One 109.0.5097.33. Deze browser bevat
echter nog steeds de verouderde en onveilige Chromium versie 123.0.6312.46, die Google gebruikte in Chrome in de
vroege stabiele update van 13 maart. Slechts relatief weinig gebruikers hebben deze vroege versie ontvangen - een
vroegere stabiele update wordt regelmatig iets minder dan een week voor de algemene beschikbaarheid van een nieuwe
hoofdversie van Chrome uitgebracht.

Microsoft: 0-day kwetsbaarheid in Chromium browsers

Laat in de avond van 27 maart (Europese tijd) publiceerde Microsoft meer concrete informatie over het 0-day lek dat de
dag ervoor werd aangekondigd (zie hierboven). Volgens deze informatie is er exploitcode beschikbaar voor de
kwetsbaarheid CVE-2024-2883 in de ANGLE-component, die door Google als kritiek is aangemerkt.
Microsoft verwijst in deze verklaring naar het Chromium-team. Deze informatie zou dus ook beschikbaar moeten zijn voor
Google, dat hierover echter geen uitspraak doet in zijn releaseblog. Tot nu toe maakte Google 0-day kwetsbaarheden in
Chrome altijd bekend zodra ze door een update waren gedicht.

Microsoft biedt een update naar versie 123.0.2420.65 voor zijn Edge-browser. Deze is gebaseerd op Chromium 123.0.6312.87
en verhelpt dus ook alle andere hierboven genoemde kwetsbaarheden, inclusief de Pwn2own kwetsbaarheden.

Zie ook:

en:
 
Laatst bewerkt:

Google dicht nog een Pwn2own-gat in Chrome​

Google heeft een nieuwe beveiligingsupdate uitgebracht voor Chrome.
De ontwikkelaars hebben nog meer kwetsbaarheden verholpen, onder andere in Chrome voor Android.


Met de nieuwe Chrome-versies 123.0.6312.105/106/107 voor Windows en macOS en 123.0.6312.105
voor Linux vanaf 2 april, patcht Google drie kwetsbaarheden in de browser.
Een van deze kwetsbaarheden werd ontdekt tijdens de Pwn2own hackerwedstrijd.
Tot nu toe is geen van de kwetsbaarheden blijkbaar uitgebuit voor echte aanvallen. Fabrikanten van
andere Chromium-gebaseerde browsers zullen waarschijnlijk snel volgen.

In de Chrome Release Blog somt Srinivas Sista de drie kwetsbaarheden op, die allemaal zijn ontdekt
door externe beveiligingsonderzoekers en gemeld aan Google. Google classificeert alle drie de
kwetsbaarheden als hoog risico. Een implementatiefout in de Javascript-engine V8 (CVE-2024-3156)
levert de ontdekker een beloning van 7000 US dollar op.
Een use-after-free kwetsbaarheid (CVE-2024-3158) in de Bookmarks-component is blijkbaar gebaseerd
op een fout in de afhandeling van bladwijzers. De ontdekker ontvangt een beloning van 3000 US dollar.

De kwetsbaarheid CVE-2024-3159 bevindt zich in de JavaScript-engine V8 en bestaat uit ongeautoriseerde
geheugentoegang. Onderzoekers van het Californische IT-beveiligingsbedrijf Palo Alto Networks maakten
tijdens de Pwn2own hackerswedstrijd in Vancouver misbruik van de kwetsbaarheid om Chrome (en Edge)
te hacken. Google had vorige week al twee Pwn2own kwetsbaarheden en een 0-day kwetsbaarheid in
Chrome gepatcht.
Google heeft ook Chrome 123.0.6312.99 uitgebracht voor Android.
Hiermee worden dezelfde kwetsbaarheden verholpen.

Andere Chromium-gebaseerde browsers​

De fabrikanten van andere Chromium-gebaseerde browsers moeten nu weer snel volgen met updates.
Brave, Microsoft Edge en Vivaldi zitten sinds vorige week op het beveiligingsniveau voorafgaand aan de
nieuwste Chrome-update. Opera daarentegen bracht Opera One 109.0.5097.38 slechts een paar uur voor
deze Chrome-update uit, waardoor het op één lijn staat met de andere browsers.


Zie ook:
 
Update 5 april

De paasvakantie heeft waarschijnlijk invloed op sommige bedrijven:
Brave heeft nog geen update uitgebracht, terwijl Vivaldi en Microsoft pas op 4 april klaar zullen zijn.

Vivaldi heeft zijn browser bijgewerkt naar versie 6.6.3271.57, die is gebaseerd op Chromium 122.0.6261.158.
Vanavond (na CEST) heeft Microsoft een update uitgebracht voor Edge 123.0.2420.81, die is gebaseerd op Chromium versie 123.0.6312.106. Microsoft heeft ook twee Edge-specifieke beveiligingslekken verholpen.
Voor Opera is nog geen activiteit herkenbaar.


Zie ook:
 
Met de nieuwe Chrome-versies 123.0.6312.122/123 voor Windows, 123.0.6312.122/123/124 voor macOS
en 123.0.6312.122 voor Linux vanaf 10 april, patcht Google drie kwetsbaarheden in de browser.
Tot nu toe is geen van de kwetsbaarheden blijkbaar uitgebuit voor echte aanvallen. Dit is waarschijnlijk de
laatste update voor Chrome 123, want Google is van plan Chrome 124 op 16 april 2024 uit te brengen.
De pre-release versie, bekend als de Early Stable Update, wordt al geleverd aan een kleine groep gebruikers.

In de Chrome Release Blog somt Srinivas Sista de drie kwetsbaarheden op, die allemaal zijn ontdekt door
externe beveiligingsonderzoekers en gemeld aan Google. Google categoriseert alle drie de kwetsbaarheden
als hoog risico. De geheugenfouten in verschillende componenten kunnen worden misbruikt om code te
injecteren en uit te voeren. De ontdekkers ontvangen een beloning van in totaal 41.000 Amerikaanse dollar.

Chrome werkt zichzelf meestal automatisch bij wanneer er een nieuwe versie beschikbaar is.
Je kunt de updatecontrole handmatig starten via de menuoptie ⋮
Help " Over Google Chrome (alternatief: " Instellingen " Over Google Chrome).
Google heeft ook Chrome 123.0.6312.118 uitgebracht voor Android.
Hiermee worden dezelfde kwetsbaarheden verholpen.

Brave heeft zijn browser bijgewerkt naar versie 1.64.122 en vertrouwt op Chromium 123.0.6312.122.
Opera heeft in ieder geval de achterstand verkleind met de update naar Opera One 109.0.5097.45.
Deze bevat Chromium 123.0.6312.106 van vorige week en dus ook een of twee al bekende beveiligingslekken.
Tot nu toe heeft Microsoft alleen de gebruikelijke verklaring afgelegd dat ze "actief" werken aan een update.


Zie ook:
 
Update 13 april

De Vivaldi-ontwikkelaars hebben de relevante fixes van Chromium 123.0.6312.124 teruggezet naar de
Chromium-generatie 122 die in Vivaldi 6.6 wordt gebruikt.
De nieuwe Vivaldi-versie 6.6.3271.61 van 12 april wordt daarom als veilig beschouwd, hoewel deze nog
steeds is gebaseerd op Chromium 122.0.6261.158.
Microsoft kwam een paar uur later ook met een update. Edge 123.0.2420.97 bevat Chromium 123.0.6312.123.


Zie ook:
 
Terug
Bovenaan Onderaan