Nieuws Onderzoekers tonen zerodaylekken in Chrome, Safari en Edge

Aarie25

Moderator
Team lid
Lid geworden
12 apr 2013
Berichten
20.616
Reaction score
386
Punten
83
Leeftijd
39
Hopelijk worden de lekken snel gedicht.

Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen.

De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Gisteren was de eerste dag van het evenement, vandaag vindt dag twee plaats. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar voor het demonstreren van onbekende kwetsbaarheden.

De wedstrijd begon met verschillende aanvallen tegen Edge, gevolgd door Chrome en Safari. Alle drie de browsers sneuvelden. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website met een volledig gepatchte versie van Chrome, Edge of Safari is voldoende om een aanvaller toegang tot het systeem te geven. Er is geen verdere interactie van gebruikers vereist en er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar gemaakt. Mozilla Firefox maakte geen deel uit van de wedstrijd.

Drie verschillende onderzoeksteams wisten Microsoft Edge te compromitteren. Team "ddd", dat eerder Edge compromitteerde, demonstreerde ook een succesvolle zerodayaanval tegen Google Chrome. Ook een ander team kreeg Googles browser op de knieën. Vier teams probeerden vervolgens een aanval tegen Apple Safari te laten zien, maar drie daarvan gaven op. Team "StackLeader" slaagde er wel in om Apples browser succesvol aan te vallen.

Bij de demonstratie van een zerodayaanval tegen Adobe Reader was StackLeader wederom succesvol, alsmede een ander team. Uiteindelijk moest ook Microsoft Office 365 ProPlus eraan geloven. Via een kwaadaardig rtf-document blijkt het mogelijk om willekeurige code uit te voeren en de ProtectionView-maatregel van de software deels te omzeilen. Verder toonden drie verschillende teams zerodaylekken in de D-Link DIR-878. Alle betrokken leveranciers en partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.

Bron Security.nl
 

Aarie25

Moderator
Team lid
Lid geworden
12 apr 2013
Berichten
20.616
Reaction score
386
Punten
83
Leeftijd
39
Google heeft een nieuwe versie uitgebracht, waar 5 lekken zijn gedicht, waarvan er 2 van externe onderzoekers is. Onduidelijk is of het om de lekken gaat die hier boven zijn vermeld.
Versie 78.0.3904.108 is nu de laatste.

Deze update bevat 5 beveiligingsfixes. Hieronder belichten we oplossingen die zijn aangebracht door externe onderzoekers. Raadpleeg de Chrome-beveiligingspagina voor meer informatie.

[$ TBD] [ 1024121 ] Hoog CVE-2019-13723: Gebruik-na-gratis in Bluetooth. Gerapporteerd door Yuxiang Li (@ Xbalien29) van Tencent Blade Team op 13-11-2019
[$ TBD] [ 1024116 ] Hoge CVE-2019-13724: Verboden toegang in Bluetooth. Gerapporteerd door Yuxiang Li (@ Xbalien29) van Tencent Blade Team op 13-11-2019
 

Rubensky

Moderator
Team lid
Lid geworden
17 okt 2011
Berichten
19.619
Reaction score
160
Punten
63
Versie 78.0.3904.108 is nu de laatste.
Deze versie heb ik al een tijdje. Wel vreemd dat daar dan nu pas ruchtbaarheid aan wordt gegeven.
 

Aarie25

Moderator
Team lid
Lid geworden
12 apr 2013
Berichten
20.616
Reaction score
386
Punten
83
Leeftijd
39
Dat zal het zelfde zijn als met de Whatsapp lek, eerst zorgen dat de meeste mensen hem geïnstalleerd hebben.
 

Rubensky

Moderator
Team lid
Lid geworden
17 okt 2011
Berichten
19.619
Reaction score
160
Punten
63
Dat is wel te hopen inderdaad. Eerst de fix en daarna pas de details van de kwetsbaarheid naar buiten brengen.
 

Nieuwste berichten

Bovenaan Onderaan