Tweede juli Google Chrome-beveiligingsupdate komt naar Windows, Mac, Linux

Google heeft zojuist de tweede reeks beveiligingsupdates voor de Chrome-browser in juli bevestigd. Versie 103.0.5060.134 voor alle Windows-, Mac- en Linux-gebruikers komt de komende dagen beschikbaar. Hoewel deze update automatisch wordt uitgerold, wordt gebruikers die hun browser niet regelmatig herstarten geadviseerd om dit handmatig te controleren en de activering van de beveiligingspatch te forceren.

Update van 22 juli hieronder. Dit bericht is oorspronkelijk gepubliceerd op 20 juli

Zoals ik eerder in de maand meldde, a zero-day Chrome-kwetsbaarheid is bevestigd door Google als actief misbruikt door aanvallers. Die kwetsbaarheid was CVE-2022-2294 en er werden om voor de hand liggende redenen heel weinig details over vrijgegeven. Nu gebruikers voldoende tijd hebben gehad om de fix toe te passen, in de vorm van de eerste Google Chrome-beveiligingsupdate voor juli, is dat detail naar voren gekomen uit de bedreigingsonderzoekers bij Avast die het ontdekten. In een nieuw gepubliceerd rapport, onderzoekers onthullen hoe de kwetsbaarheid werd gebruikt door aanvallers die zich richtten op gebruikers in het Midden-Oostenin het bijzonder in Libanon.

De Avast-onderzoekers zeggen dat ze “het vol vertrouwen kunnen toeschrijven aan een geheime spywareverkoper”, die ze Candiru noemen. Een jaar geleden, bijna tot op de dag van vandaag, beweerde Citizen Lab-onderzoek dat Candiru “een huurspy-spywarebedrijf was dat ‘niet-traceerbare’ spyware op de markt brengt aan overheidsklanten. Hun productaanbod omvat oplossingen voor het bespioneren van computers, mobiele apparaten en cloudaccounts.” Avast zegt dat Candiru het na de publicatie van dit onderzoek had gedaan, maar in maart 2022 hadden onderzoekers het terug zien komen met tools die gericht waren op Avast-gebruikers, opnieuw in Libanon, evenals in Palestina, Turkije en Jemen. Die tools gebruikten een zero-day voor Google Chrome.

Avast meldt hoe de zero-day was ontworpen om Chrome-gebruikers op het Windows-platform te targeten, omdat het een WebRTC-bug gebruikte en ook Microsoft Edge en zelfs Apple Safari beïnvloedde. Alle browsers zijn inmiddels gepatcht: Chrome op 4 juli, Edge op 6 juli en Safari op 20 juli.

Dit, als je er echt aan herinnerd moet worden, is een goede reden om ervoor te zorgen dat je niet blijft hangen bij het installeren van deze beveiligingsupdates voor Chrome. Met miljarden gebruikers verspreid over meerdere platforms, is het een zeer winstgevend doelwit voor kwaadwillende actoren. Zoals hierboven vermeld, zal uw browser automatisch nieuwe updates downloaden zodra deze beschikbaar zijn, maar deze worden pas geactiveerd nadat u de browser opnieuw heeft opgestart.

Wat is er nieuw in Google Chrome 103.0.5060.134?

In totaal lost deze update naar Chrome 103.0.5060.134 11 beveiligingsproblemen op. Vijf hiervan werden ontdekt door interne beveiligingsaudits en ‘fuzzing’, een automatisch proces dat op zoek is naar uitzonderingen bij het verstrekken van onverwachte of willekeurige invoer. De overige zes problemen zijn kwetsbaarheden die zijn ontdekt door beveiligingsonderzoekers. In tegenstelling tot de eerste Chrome-update van deze maand, zijn er geen zero-days waarvan bekend is dat aanvallers ze al in het wild misbruiken. Het lijkt er ook op dat er geen beveiligingsoplossingen zijn in de gelijktijdig aangekondigde Android Chrome-update.

Vijf van de zes kwetsbaarheden worden beoordeeld als een probleem met een hoge impact, en de zesde is een probleem met een lage impact. In totaal werd $ 33.500 aan bug bounties toegekend aan de onderzoekers die de kwetsbaarheden onthulden. Ongeveer $ 23.000 hiervan ging naar slechts twee onderzoekers, waarvan één verrassend genoeg was voor die kwetsbaarheid met lage impact.

MEER VAN FORBESNieuwe 0Day Hack Attack Alert uitgegeven voor alle Windows-gebruikers

De genoemde Chrome-kwetsbaarheden

Zoals gebruikelijk is er momenteel weinig gedetailleerde informatie beschikbaar. Google houdt dit verstandig achter totdat een meerderheid van de gebruikers de kans heeft gehad om te updaten. Dit is wat we wel weten:

  • $ 16.000 werd toegekend aan een anonieme onderzoeker voor een hoog gewaardeerd gebruik na gratis kwetsbaarheid CVE-2022-2477 in gastweergave.
  • $7.500]werd toegekend aan ‘triplepwns’ voor een hoog gewaardeerd gebruik na gratis kwetsbaarheid CVE-2022-2478 in PDF.
  • $ 3.000 werd toegekend aan een anonieme onderzoeker voor een hoog gewaardeerde kwetsbaarheid CVE-2022-2479 met onvoldoende validatie van niet-vertrouwde invoer in bestanden
  • Twee andere hoog gewaardeerde kwetsbaarheden, CVE-2022-2480 en CVE-2022-2481, van respectievelijk Sergei Glazunov (een lid van het Google Project Zero-team) en YoungJoo Lee, hebben nog geen premie ontvangen. De eerste is een use after free in de service worker API en de tweede een use after free in views.
  • $7.000 werd toegekend aan Chaoyuan Peng voor het laag gewaardeerde gebruik na gratis kwetsbaarheid CVE-2022-2163 in een cast-gebruikersinterface en werkbalk.

MEER VAN FORBESBinnen de Russische cyberbende dacht men Oekraïne aan te vallen – The Trickbot Leaks

.

Leave a Comment