Google dicht 0-day kloof met update naar Chrome 128 - plus nieuwe functies

Abraham54

Beheerder
Forumleiding
Google dicht 0-day kloof met update naar Chrome 128 - plus nieuwe functies
Google heeft zijn browser uitgebracht in de nieuwe grote versie Chrome 128. De ontwikkelaars hebben een aantal kwetsbaarheden verholpen, waaronder één die al wordt misbruikt voor aanvallen.

Google heeft de nieuwe Chrome-versies 128.0.6613.84/85 voor Windows en macOS en 128.0.6613.84 voor Linux met een
dag vertraging uitgebracht. Google verhelpt hiermee meer dan 30 beveiligingslekken in zijn browser, waarvan er één al
wordt misbruikt voor aanvallen. Fabrikanten van andere Chromium-gebaseerde browsers zouden dit voorbeeld snel moeten
volgen, Vivaldi loopt voorop.

In de Chrome Release Blog somt Prudhvikumar Bommana de 20 van de 38 gepatchte kwetsbaarheden op die zijn ontdekt
door externe beveiligingsonderzoekers en gemeld aan Google. Google categoriseert zeven van deze kwetsbaarheden als
hoog risico. De bijna verplichte typeverwarring in de Javascript-engine V8 is ook opgenomen (CVE-2024-7971), maar dit
keer met meer smaak: Volgens Google wordt dit gat al gebruikt voor aanvallen. Google geeft echter geen details.

Op woensdag van de vorige week bracht Google zoals gebruikelijk de Early Stable Update naar Chrome 128 uit voor een
kleine groep gebruikers. Normaal gesproken zou de update voor iedereen op dinsdag van deze week zijn gevolgd.
Op maandag meldden het Microsoft Threat Intelligence Centre (MSTIC) en het Microsoft Security Response Centre (MSRC)
echter de 0-day kwetsbaarheid in Chrome (en Chromium) aan Google. Hoewel Google eerder het uitbrengen van een nieuwe
grote versie samen met een fix voor een 0-day kwetsbaarheid bijna koste wat het kost had vermeden, kon het deze keer niet
worden vermeden. Het gevolg was dat de nieuwe Chrome-versie slechts één dag werd uitgesteld.

Google heeft tot nu toe externe beveiligingsonderzoekers bijna 100.000 Amerikaanse dollar beloond voor de gemelde
kwetsbaarheden. Meer dan een derde hiervan gaat naar een niet nader genoemd persoon voor de ontdekking van een
use-after-free kwetsbaarheid (CVE-2024-7964) in de wachtwoordmodule. Microsoft-medewerkers staan, net als Google's
eigen mensen, met lege handen.

In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. Je kunt de updatecontrole
handmatig activeren via het menu-item “ Help ‘ Over Google Chrome (alternatief: ’ Instellingen ” Over Google Chrome).
Google heeft ook Chrome 128.0.6613.88 voor Android en Chrome voor iOS 128.0.6613.92 uitgebracht. In de Android-versie
zijn dezelfde kwetsbaarheden verholpen als in de desktopversies.


Google Lens ook op de desktop, chat met Gemini

Google maakt op de Whats New-pagina reclame voor de introductie van Lens search, dat al langer beschikbaar is op Android.
Het werkt echter een beetje anders dan daar. Selecteer “Zoeken met Google Lens” in het contextmenu (rechtermuisknop) of in
het ⋮-menu. Je kunt nu alle elementen op de huidige webpagina selecteren en ze gebruiken als basis voor een Google-zoekopdracht.
De resultaten verschijnen in de zijbalk, die je verder kunt verfijnen. De chat met de AI-bot Gemini is ook nieuw - deze is ontworpen
om te helpen bij het zoeken op het web. Voer “@” in de adresbalk in en selecteer “Chatten met Gemini”.
Om de chatbot te gebruiken, moet je je echter registreren op gemini.google.com.



Andere Chromium-gebaseerde browsers


De fabrikanten van andere Chromium-gebaseerde browsers worden nu opgeroepen om zo snel mogelijk te volgen met updates.
Er is nog niemand overgestapt op Chromium 128. Brave en Microsoft Edge zijn up-to-date met de laatste update voor Chrome 127,
terwijl Opera en Vivaldi op dit moment nog vertrouwen op het Extended Stable Channel van Chromium versie 126.

Vivaldi heeft echter ten minste de 0-day kwetsbaarheid CVE-2024-7971 al gepatcht. Voor de update naar Vivaldi 6.8.3381.55 hebben
de ontwikkelaars de patch tegen het V8-kwetsbaarheid teruggezet naar de Chromium-versie die in Vivaldi wordt gebruikt.
De andere beveiligingslekken die Google wegwerkt met de update naar Chrome 128 blijven echter in Vivaldi aanwezig tot de
reguliere update naar v5.9.

Opera lijkt liever te verzanden in allerlei zinloze foefjes (zoals dynamische ontwerpen) die niemand tot nu toe heeft gemist.
In plaats daarvan zullen de Noren er beter aan doen om de enorme achterstand in te halen die ze in het voorjaar hebben opgelopen.
Daar zou tijd voor zijn geweest, ook omdat Google Chrome 127 pas zes weken na Chrome 126 uitbracht in plaats van de gebruikelijke
vier weken.

De huidige versie is echter Opera 112 met Chromium 126, terwijl Opera 113 op basis van Chromium 127 al meer dan een maand in
bèta is - en dus al verouderd is. Opera 114 met Chromium 128 zit nog steeds in het ontwikkelaarskanaal, maar zou nog deze maand
(d.w.z. eind volgende week) als voltooide versie moeten worden uitgebracht om ook maar in de verste verte op gelijke hoogte met de
anderen te komen. In het beste geval kunnen we waarschijnlijk een stap als Vivaldi verwachten om op zijn minst de 0-day kloof te dichten.




Publicatie van PCWELT
Auteur; Frank Ziemann
Vertaald met DeepL.com (gratis versie)




Vertaald met DeepL.com (gratis versie)
 
Update 23 augustus - Brave, Opera & Edge

Brave is de eerste van de Chrome-alternatieven die overstapt op Chromium 128. Met de nieuwe versie
Brave 1.69.153 brengen de ontwikkelaars onder leiding van ex-Mozilla baas Brendan Eich ook een aantal
verbeteringen aan in Brave's eigen functies.

Op 22 augustus verhoogde Opera zijn browserversie 113 van het bètakanaal naar het stabiele kanaal,
waardoor Opera 112 overbodig werd.
Met Opera 113.0.5230.31 gebaseerd op Chromium 127.0.6533.120 is er echter nog niets bereikt op het
gebied van beveiliging. Geen van de kwetsbaarheden die hierboven zijn genoemd zijn op deze manier
verholpen, zelfs niet de 0-day kwetsbaarheid CVE-2024-7971.
Hoewel Opera een paar uur op hetzelfde niveau stond als Microsoft Edge, loopt het nu een
browsergeneratie achter. Alleen met Opera 114 kunnen de Noren de concurrentie inhalen als ze versie 113
snel achter zich laten. Het feit dat Opera de ingebouwde AI-functies verder heeft verbeterd, is op dit
moment irrelevant.

Op dezelfde dag, in de VS in ieder geval nog donderdag, voltooide Microsoft de overstap naar Chromium
128 met zijn Edge-browser. Hiermee komt Edge op hetzelfde beveiligingsniveau als Chrome en Brave.
Microsoft heeft ook vijf Edge-specifieke kwetsbaarheden verholpen, waarvan er één alleen Edge voor
Android treft.


Gerelateerd:
 
Update 24 augustus - Opera patch

Een dag na de update naar versie 113.0.5230.31 heeft Opera verbeteringen aangebracht en, net als Vivaldi,
de patch tegen de 0-day kwetsbaarheid CVE-2024-7971 teruggezet naar de gebruikte Chromium-versie.
In Opera One 113.0.5230.32 is de kwetsbaarheid die volgens Google wordt aangevallen verholpen.


Gerelateerd:
 
Update 26 augustus - Vivaldi: nog een patch

Op zaterdag volgde Vivaldi met een update naar browserversie 6.8.3381.57, waarin nog een van de
bovengenoemde kwetsbaarheden werd gepatcht. Volgens de ontwikkelaars hebben ze de patch
tegen de kwetsbaarheid CVE-2024-7965 van Chromium 128 naar Chromium 126 teruggezet.

Deze kwetsbaarheid heeft ook invloed op de Javascript-engine V8. Daniel Aleksandersen van de
afdeling kwaliteitsborging van Vivaldi laat in het midden waarom ze deze kwetsbaarheid de moeite
waard vinden. Voor de rest blijft het doel om Vivaldi 6.9 voor het einde van de maand de deur uit te krijgen.


Gerelateerd:
 
Update 29 augustus, 11:11 uur - Vivaldi 6.9 is hier

Vivaldi heeft vandaag de nieuwe versie 6.9.3447.37 van de gelijknamige browser uitgebracht.
Deze is gebaseerd op Chromium 128.0.6613.117 en is dus up-to-date.
Vivaldi is nu ook beschikbaar voor Windows op ARM.


Gerelateerd:
 
UPDATE 30 augustus 2024


Chrome-update verhelpt beveiligingslekken met hoog risico - Vivaldi & Brave volgen

Google heeft updates uitgebracht voor de nieuwe Chrome-versies 128.0.6613.113/114 voor Windows
en macOS en 128.0.6613.113 voor Linux. Google heeft hiermee vier beveiligingslekken in zijn browser
verholpen, waarvan er tot op heden nog geen zijn misbruikt voor aanvallen. Fabrikanten van andere
Chromium-gebaseerde browsers zullen waarschijnlijk snel volgen.


In de Chrome Release Blog geeft Prudhvikumar Bommana een overzicht van de vier gepatchte kwetsbaarheden
die zijn ontdekt door externe beveiligingsonderzoekers en gemeld aan Google. Google categoriseert alle vier
de kwetsbaarheden als hoog risico. De bijna verplichte typeverwarring in de Javascript-engine V8 is deze week
zelfs twee keer opgenomen (CVE-2024-7969, CVE-2024-8194). De andere twee kwetsbaarheden zijn ook broers
en zussen: het zijn buffer overflows in de open-source 2D grafische bibliotheek Skia, beide gemeld door dezelfde
persoon.


Chrome-update verhelpt beveiligingslekken met hoog risico - Vivaldi & Brave pull In de afgelopen week
heeft Google Chrome 128 uitgebracht en daarbij een 0-day kwetsbaarheid verholpen. In de regel werkt
Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. U kunt de updatecontrole handmatig
starten via het menu-item “ Help ‘ Over Google Chrome (of: ’ Instellingen ” Over Google Chrome).
Google heeft ook Chrome 128.0.6613.99 uitgebracht voor Android en Chrome voor iOS 128.0.6613.98.
In de Android-versie zijn dezelfde kwetsbaarheden verholpen als in de desktopversies.


Op 29 augustus kwam Brave ook met een update om de nieuwe beveiligingslekken te dichten. Net als
Chrome is Brave 1.69.160 gebaseerd op 128.0.6613.114 en is daarom voorlopig weer aan de veilige kant.
Opera heeft een update uitgebracht naar versie 113.0.5230.47, maar deze verhelpt geen beveiligingslekken,
alleen normale bugs.



Gerelateerd:
 
Update 30 augustus - Microsoft Edge

Microsoft heeft zijn browser ook al bijgewerkt en de kwetsbaarheden verholpen, maar vond het blijkbaar n
iet nodig om dit aan de wereld te vertellen.
Met Edge 128.0.2739.54 van 29 augustus, schuift Chromium 128.0.6613.114 op.


Gerelateerd:
 
Update 3 september


Nieuwe Chrome-update verhelpt nog meer kwetsbaarheden in browser

Google dicht verschillende beveiligingslekken in zijn browser met een nieuwe beveiligingsupdate voor Chrome.


Google heeft updates uitgebracht voor de nieuwe Chrome-versies 128.0.6613.119/120 voor Windows
en macOS en 128.0.6613.119 voor Linux. Google heeft hiermee vier kwetsbaarheden in zijn browser
verholpen, waarvan er tot op heden nog geen zijn uitgebuit voor aanvallen. Fabrikanten van andere
Chromium-gebaseerde browsers zullen waarschijnlijk snel volgen.


In de Chrome Release Blog geeft Daniel Yip een overzicht van de twee van de vier verholpen kwetsbaarheden
die door externe beveiligingsonderzoekers zijn ontdekt en aan Google zijn gerapporteerd.
Google classificeert beide kwetsbaarheden als hoog risico.
De ene (CVE-2024-8362) is een use-after-free (UAF) kwetsbaarheid in de Webaudio component, de andere
(CVE-2024-7970) is een fout in geheugentoegang in de Javascript engine V8. Beide werden ontdekt en
gerapporteerd door dezelfde onderzoeker.
Zoals altijd geeft Google geen informatie over de intern gevonden kwetsbaarheden.


n de afgelopen week heeft Google de eerste beveiligingsupdate voor Chrome 128 uitgebracht. In de regel
werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. U kunt de updatecontrole
handmatig starten via de menuoptie “ Help ‘ Over Google Chrome (alternatief: ’ Instellingen ”
Over Google Chrome).


Andere op Chromium gebaseerde browsers


De fabrikanten van andere Chromium-gebaseerde browsers zijn nu opnieuw verplicht om zo snel mogelijk
updates uit te brengen.
Brave, Microsoft (Edge) en Vivaldi zijn al overgestapt op Chromium 128 en hebben de beveiligingsstatus
van vorige week.
Opera is twee weken geleden met Opera One 113 overgestapt op Chromium 127.
Opera 114 met Chromium 128 heeft nog niet eens de bètatestfase bereikt.
Opera heeft echter hetzelfde gedaan als Vivaldi en heeft nu ook de patch tegen de kwetsbaarheid
CVE-2024-7965 in de Javascript-engine V8 teruggezet.



Gerelateerd:
 
Update 4 september - Brave & Edge


Brave reageerde als eerste van de vier browserfabrikanten en installeerde de nieuwste Chromium-versie
128.0.6613.120 in Brave 1.69.162.
Microsoft volgde een paar uur later en leverde een Edge 128.0.2739.63 update.
Deze bevat dezelfde Chromium-versie als Chrome en Brave.
Microsoft heeft deze wijzigingen echter nog nergens officieel gedocumenteerd, noch in de release notes
voor Edge Security Updates, noch in de “Security Update Guide”.
Dit geldt nog steeds voor de vorige beveiligingsupdate van vorige week.



Grelateerd:
 
Update 5 september - Vivaldi volgt

Op 5 september heeft ook Vivaldi zijn browser geüpdatet.
Vivaldi 6.9.3447.41 bevat al een iets nieuwere browserbasis met Chromium 128.0.6613.126.
De ontwikkelaars hebben ook een aantal bugs verholpen die tot browser crashes konden leiden.


Gerelateerd:
 
Update 11 september

Google dicht nog meer browser-lekken in Chrome

Met de nieuwste beveiligingsupdate voor Chrome heeft Google
verschillende beveiligingslekken in zijn browser verholpen die als
hoog risico waren aangemerkt.



Google heeft updates uitgebracht voor de nieuwe Chrome-versies 128.0.6613.137/138 voor Windows
en macOS en 128.0.6613.137 voor Linux. Google heeft hiermee vijf nieuwe kwetsbaarheden in zijn
browser verholpen, waarvan er tot nu toe blijkbaar nog geen enkele is misbruikt voor aanvallen.
Fabrikanten van andere Chromium-gebaseerde browsers zouden dit voorbeeld snel moeten volgen.


In de Chrome Release Blog geeft Prudhvikumar Bommana een overzicht van de vier van de vijf verholpen
kwetsbaarheden die door externe beveiligingsonderzoekers zijn ontdekt en aan Google zijn gemeld.
Google classificeert alle vier de kwetsbaarheden als hoog risico. Het gaat om use-after-free (UAF)
kwetsbaarheden in de Autofill en Media Router componenten en een buffer overflow in de 2D grafische
bibliotheek Skia. De bijna onvermijdelijke typeverwarring in de Javascript-engine V8 is ook weer opgenomen.
Zoals altijd geeft Google geen informatie over de intern gevonden kwetsbaarheid.


Vorige week nog heeft Google een beveiligingsupdate voor Chrome uitgebracht om vier kwetsbaarheden te
verhelpen. In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is.
U kunt de updatecontrole handmatig starten via de menuoptie “ Help ‘ Over Google Chrome (alternatief: ’
Instellingen ” Over Google Chrome).


Andere op Chromium gebaseerde browsers


De fabrikanten van andere Chromium-gebaseerde browsers zijn nu opnieuw verplicht om zo snel mogelijk
updates uit te brengen. Brave, Microsoft (Edge) en Vivaldi hebben de beveiligingsstatus van vorige week.
Opera is slechts drie weken geleden overgestapt op Chromium 127 met Opera One 113.
Opera 114 met Chromium 128 heeft de bètatestfase nog steeds niet bereikt. .



 
Update 12 september - Brave en Vivaldi zijn veilig

Slechts één dag na Google hebben Brave en Vivaldi hun browsers bijgewerkt naar het nieuwste beveiligingsniveau.
Net als Chrome is Brave 1.69.168 gebaseerd op Chromium 128.0.6613.138.
Vivaldi 6.9.3447.44 bevat al een nieuwere Chromium-versie: 128.0.6613.146.
De Opera-update brengt daarentegen alleen bugfixes zonder gevolgen voor de beveiliging.

Google heeft nu ook Chrome 128.0.6613.146 uitgebracht voor Android.
Deze verhelpt dezelfde kwetsbaarheden als de desktopversies.


 
Update 13 september - Update voor Microsoft Edge

Ook Microsoft heeft zijn browser op 12 september bijgewerkt.
Edge 128.0.2739.79 gebruikt dezelfde Chromium-versie als Chrome en Brave. Microsoft is er nu ook in geslaagd
om de “Release notes for Microsoft Edge Security Updates” weer up-to-date te brengen.
Dit is nog niet het geval voor de gids met beveiligingsupdates. Na Patch Day heeft Microsoft in ieder geval de
eerdere updates van 29 augustus en 3 september toegevoegd - met een datum van 12 september.

Hoewel Opera sinds 11 september een update naar Opera One 113.0.5230.86 aankondigt op zijn website, biedt
het nog steeds alleen versie 113.0.5230.62 aan, zowel via de updatefunctie als als download.
Opera 114 met Chromium 128 heeft deze week in ieder geval de bètatestfase gehaald - en zou deze snel achter
zich moeten laten. Aangezien Google volgende week Chrome 129 uitbrengt, kan Opera in ieder geval voorkomen
dat het nog verder achterop raakt.



 
Terug
Bovenaan Onderaan