• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Onderzoekers tonen zerodaylekken in Chrome, Safari en Edge

Status
Niet open voor verdere reacties.

Aarie25

NCF Goeroe
Forumleiding
Moderator
Lid geworden
12 apr 2013
Berichten
25.733
Waarderingsscore
1.389
Hopelijk worden de lekken snel gedicht.

Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen.

De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Gisteren was de eerste dag van het evenement, vandaag vindt dag twee plaats. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar voor het demonstreren van onbekende kwetsbaarheden.

De wedstrijd begon met verschillende aanvallen tegen Edge, gevolgd door Chrome en Safari. Alle drie de browsers sneuvelden. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website met een volledig gepatchte versie van Chrome, Edge of Safari is voldoende om een aanvaller toegang tot het systeem te geven. Er is geen verdere interactie van gebruikers vereist en er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar gemaakt. Mozilla Firefox maakte geen deel uit van de wedstrijd.

Drie verschillende onderzoeksteams wisten Microsoft Edge te compromitteren. Team "ddd", dat eerder Edge compromitteerde, demonstreerde ook een succesvolle zerodayaanval tegen Google Chrome. Ook een ander team kreeg Googles browser op de knieën. Vier teams probeerden vervolgens een aanval tegen Apple Safari te laten zien, maar drie daarvan gaven op. Team "StackLeader" slaagde er wel in om Apples browser succesvol aan te vallen.

Bij de demonstratie van een zerodayaanval tegen Adobe Reader was StackLeader wederom succesvol, alsmede een ander team. Uiteindelijk moest ook Microsoft Office 365 ProPlus eraan geloven. Via een kwaadaardig rtf-document blijkt het mogelijk om willekeurige code uit te voeren en de ProtectionView-maatregel van de software deels te omzeilen. Verder toonden drie verschillende teams zerodaylekken in de D-Link DIR-878. Alle betrokken leveranciers en partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend.

Bron Security.nl
 
Google heeft een nieuwe versie uitgebracht, waar 5 lekken zijn gedicht, waarvan er 2 van externe onderzoekers is. Onduidelijk is of het om de lekken gaat die hier boven zijn vermeld.
Versie 78.0.3904.108 is nu de laatste.

Deze update bevat 5 beveiligingsfixes. Hieronder belichten we oplossingen die zijn aangebracht door externe onderzoekers. Raadpleeg de Chrome-beveiligingspagina voor meer informatie.

[$ TBD] [ 1024121 ] Hoog CVE-2019-13723: Gebruik-na-gratis in Bluetooth. Gerapporteerd door Yuxiang Li (@ Xbalien29) van Tencent Blade Team op 13-11-2019
[$ TBD] [ 1024116 ] Hoge CVE-2019-13724: Verboden toegang in Bluetooth. Gerapporteerd door Yuxiang Li (@ Xbalien29) van Tencent Blade Team op 13-11-2019
 
Versie 78.0.3904.108 is nu de laatste.

Deze versie heb ik al een tijdje. Wel vreemd dat daar dan nu pas ruchtbaarheid aan wordt gegeven.
 
Dat zal het zelfde zijn als met de Whatsapp lek, eerst zorgen dat de meeste mensen hem geïnstalleerd hebben.
 
Dat is wel te hopen inderdaad. Eerst de fix en daarna pas de details van de kwetsbaarheid naar buiten brengen.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan