Google dicht 0-day kloof met update naar Chrome 128 - plus nieuwe functies
Google heeft zijn browser uitgebracht in de nieuwe grote versie Chrome 128. De ontwikkelaars hebben een aantal kwetsbaarheden verholpen, waaronder één die al wordt misbruikt voor aanvallen.
Google heeft de nieuwe Chrome-versies 128.0.6613.84/85 voor Windows en macOS en 128.0.6613.84 voor Linux met een
dag vertraging uitgebracht. Google verhelpt hiermee meer dan 30 beveiligingslekken in zijn browser, waarvan er één al
wordt misbruikt voor aanvallen. Fabrikanten van andere Chromium-gebaseerde browsers zouden dit voorbeeld snel moeten
volgen, Vivaldi loopt voorop.
In de Chrome Release Blog somt Prudhvikumar Bommana de 20 van de 38 gepatchte kwetsbaarheden op die zijn ontdekt
door externe beveiligingsonderzoekers en gemeld aan Google. Google categoriseert zeven van deze kwetsbaarheden als
hoog risico. De bijna verplichte typeverwarring in de Javascript-engine V8 is ook opgenomen (CVE-2024-7971), maar dit
keer met meer smaak: Volgens Google wordt dit gat al gebruikt voor aanvallen. Google geeft echter geen details.
Op woensdag van de vorige week bracht Google zoals gebruikelijk de Early Stable Update naar Chrome 128 uit voor een
kleine groep gebruikers. Normaal gesproken zou de update voor iedereen op dinsdag van deze week zijn gevolgd.
Op maandag meldden het Microsoft Threat Intelligence Centre (MSTIC) en het Microsoft Security Response Centre (MSRC)
echter de 0-day kwetsbaarheid in Chrome (en Chromium) aan Google. Hoewel Google eerder het uitbrengen van een nieuwe
grote versie samen met een fix voor een 0-day kwetsbaarheid bijna koste wat het kost had vermeden, kon het deze keer niet
worden vermeden. Het gevolg was dat de nieuwe Chrome-versie slechts één dag werd uitgesteld.
Google heeft tot nu toe externe beveiligingsonderzoekers bijna 100.000 Amerikaanse dollar beloond voor de gemelde
kwetsbaarheden. Meer dan een derde hiervan gaat naar een niet nader genoemd persoon voor de ontdekking van een
use-after-free kwetsbaarheid (CVE-2024-7964) in de wachtwoordmodule. Microsoft-medewerkers staan, net als Google's
eigen mensen, met lege handen.
In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. Je kunt de updatecontrole
handmatig activeren via het menu-item “ Help ‘ Over Google Chrome (alternatief: ’ Instellingen ” Over Google Chrome).
Google heeft ook Chrome 128.0.6613.88 voor Android en Chrome voor iOS 128.0.6613.92 uitgebracht. In de Android-versie
zijn dezelfde kwetsbaarheden verholpen als in de desktopversies.
Google Lens ook op de desktop, chat met Gemini
Google maakt op de Whats New-pagina reclame voor de introductie van Lens search, dat al langer beschikbaar is op Android.
Het werkt echter een beetje anders dan daar. Selecteer “Zoeken met Google Lens” in het contextmenu (rechtermuisknop) of in
het ⋮-menu. Je kunt nu alle elementen op de huidige webpagina selecteren en ze gebruiken als basis voor een Google-zoekopdracht.
De resultaten verschijnen in de zijbalk, die je verder kunt verfijnen. De chat met de AI-bot Gemini is ook nieuw - deze is ontworpen
om te helpen bij het zoeken op het web. Voer “@” in de adresbalk in en selecteer “Chatten met Gemini”.
Om de chatbot te gebruiken, moet je je echter registreren op gemini.google.com.
Andere Chromium-gebaseerde browsers
De fabrikanten van andere Chromium-gebaseerde browsers worden nu opgeroepen om zo snel mogelijk te volgen met updates.
Er is nog niemand overgestapt op Chromium 128. Brave en Microsoft Edge zijn up-to-date met de laatste update voor Chrome 127,
terwijl Opera en Vivaldi op dit moment nog vertrouwen op het Extended Stable Channel van Chromium versie 126.
Vivaldi heeft echter ten minste de 0-day kwetsbaarheid CVE-2024-7971 al gepatcht. Voor de update naar Vivaldi 6.8.3381.55 hebben
de ontwikkelaars de patch tegen het V8-kwetsbaarheid teruggezet naar de Chromium-versie die in Vivaldi wordt gebruikt.
De andere beveiligingslekken die Google wegwerkt met de update naar Chrome 128 blijven echter in Vivaldi aanwezig tot de
reguliere update naar v5.9.
Opera lijkt liever te verzanden in allerlei zinloze foefjes (zoals dynamische ontwerpen) die niemand tot nu toe heeft gemist.
In plaats daarvan zullen de Noren er beter aan doen om de enorme achterstand in te halen die ze in het voorjaar hebben opgelopen.
Daar zou tijd voor zijn geweest, ook omdat Google Chrome 127 pas zes weken na Chrome 126 uitbracht in plaats van de gebruikelijke
vier weken.
De huidige versie is echter Opera 112 met Chromium 126, terwijl Opera 113 op basis van Chromium 127 al meer dan een maand in
bèta is - en dus al verouderd is. Opera 114 met Chromium 128 zit nog steeds in het ontwikkelaarskanaal, maar zou nog deze maand
(d.w.z. eind volgende week) als voltooide versie moeten worden uitgebracht om ook maar in de verste verte op gelijke hoogte met de
anderen te komen. In het beste geval kunnen we waarschijnlijk een stap als Vivaldi verwachten om op zijn minst de 0-day kloof te dichten.
Publicatie van PCWELT
Auteur; Frank Ziemann
Vertaald met DeepL.com (gratis versie)
Vertaald met DeepL.com (gratis versie)
Google heeft zijn browser uitgebracht in de nieuwe grote versie Chrome 128. De ontwikkelaars hebben een aantal kwetsbaarheden verholpen, waaronder één die al wordt misbruikt voor aanvallen.
Google heeft de nieuwe Chrome-versies 128.0.6613.84/85 voor Windows en macOS en 128.0.6613.84 voor Linux met een
dag vertraging uitgebracht. Google verhelpt hiermee meer dan 30 beveiligingslekken in zijn browser, waarvan er één al
wordt misbruikt voor aanvallen. Fabrikanten van andere Chromium-gebaseerde browsers zouden dit voorbeeld snel moeten
volgen, Vivaldi loopt voorop.
In de Chrome Release Blog somt Prudhvikumar Bommana de 20 van de 38 gepatchte kwetsbaarheden op die zijn ontdekt
door externe beveiligingsonderzoekers en gemeld aan Google. Google categoriseert zeven van deze kwetsbaarheden als
hoog risico. De bijna verplichte typeverwarring in de Javascript-engine V8 is ook opgenomen (CVE-2024-7971), maar dit
keer met meer smaak: Volgens Google wordt dit gat al gebruikt voor aanvallen. Google geeft echter geen details.
Op woensdag van de vorige week bracht Google zoals gebruikelijk de Early Stable Update naar Chrome 128 uit voor een
kleine groep gebruikers. Normaal gesproken zou de update voor iedereen op dinsdag van deze week zijn gevolgd.
Op maandag meldden het Microsoft Threat Intelligence Centre (MSTIC) en het Microsoft Security Response Centre (MSRC)
echter de 0-day kwetsbaarheid in Chrome (en Chromium) aan Google. Hoewel Google eerder het uitbrengen van een nieuwe
grote versie samen met een fix voor een 0-day kwetsbaarheid bijna koste wat het kost had vermeden, kon het deze keer niet
worden vermeden. Het gevolg was dat de nieuwe Chrome-versie slechts één dag werd uitgesteld.
Google heeft tot nu toe externe beveiligingsonderzoekers bijna 100.000 Amerikaanse dollar beloond voor de gemelde
kwetsbaarheden. Meer dan een derde hiervan gaat naar een niet nader genoemd persoon voor de ontdekking van een
use-after-free kwetsbaarheid (CVE-2024-7964) in de wachtwoordmodule. Microsoft-medewerkers staan, net als Google's
eigen mensen, met lege handen.
In de regel werkt Chrome zichzelf automatisch bij als er een nieuwe versie beschikbaar is. Je kunt de updatecontrole
handmatig activeren via het menu-item “ Help ‘ Over Google Chrome (alternatief: ’ Instellingen ” Over Google Chrome).
Google heeft ook Chrome 128.0.6613.88 voor Android en Chrome voor iOS 128.0.6613.92 uitgebracht. In de Android-versie
zijn dezelfde kwetsbaarheden verholpen als in de desktopversies.
Google Lens ook op de desktop, chat met Gemini
Google maakt op de Whats New-pagina reclame voor de introductie van Lens search, dat al langer beschikbaar is op Android.
Het werkt echter een beetje anders dan daar. Selecteer “Zoeken met Google Lens” in het contextmenu (rechtermuisknop) of in
het ⋮-menu. Je kunt nu alle elementen op de huidige webpagina selecteren en ze gebruiken als basis voor een Google-zoekopdracht.
De resultaten verschijnen in de zijbalk, die je verder kunt verfijnen. De chat met de AI-bot Gemini is ook nieuw - deze is ontworpen
om te helpen bij het zoeken op het web. Voer “@” in de adresbalk in en selecteer “Chatten met Gemini”.
Om de chatbot te gebruiken, moet je je echter registreren op gemini.google.com.
Andere Chromium-gebaseerde browsers
De fabrikanten van andere Chromium-gebaseerde browsers worden nu opgeroepen om zo snel mogelijk te volgen met updates.
Er is nog niemand overgestapt op Chromium 128. Brave en Microsoft Edge zijn up-to-date met de laatste update voor Chrome 127,
terwijl Opera en Vivaldi op dit moment nog vertrouwen op het Extended Stable Channel van Chromium versie 126.
Vivaldi heeft echter ten minste de 0-day kwetsbaarheid CVE-2024-7971 al gepatcht. Voor de update naar Vivaldi 6.8.3381.55 hebben
de ontwikkelaars de patch tegen het V8-kwetsbaarheid teruggezet naar de Chromium-versie die in Vivaldi wordt gebruikt.
De andere beveiligingslekken die Google wegwerkt met de update naar Chrome 128 blijven echter in Vivaldi aanwezig tot de
reguliere update naar v5.9.
Opera lijkt liever te verzanden in allerlei zinloze foefjes (zoals dynamische ontwerpen) die niemand tot nu toe heeft gemist.
In plaats daarvan zullen de Noren er beter aan doen om de enorme achterstand in te halen die ze in het voorjaar hebben opgelopen.
Daar zou tijd voor zijn geweest, ook omdat Google Chrome 127 pas zes weken na Chrome 126 uitbracht in plaats van de gebruikelijke
vier weken.
De huidige versie is echter Opera 112 met Chromium 126, terwijl Opera 113 op basis van Chromium 127 al meer dan een maand in
bèta is - en dus al verouderd is. Opera 114 met Chromium 128 zit nog steeds in het ontwikkelaarskanaal, maar zou nog deze maand
(d.w.z. eind volgende week) als voltooide versie moeten worden uitgebracht om ook maar in de verste verte op gelijke hoogte met de
anderen te komen. In het beste geval kunnen we waarschijnlijk een stap als Vivaldi verwachten om op zijn minst de 0-day kloof te dichten.
Publicatie van PCWELT
Auteur; Frank Ziemann
Vertaald met DeepL.com (gratis versie)
Vertaald met DeepL.com (gratis versie)