Google heeft deze week een patch uitgebracht voor de nieuwste versie van Chrome, v80, gericht op het wegwerken van drie kwetsbaarheden, waaronder een mysterieuze 0-daagse kwetsbaarheid die niet gedetailleerd was.
Nieuwste Chrome-updatepatches CVE-2020-6418, 0day gevonden in het wild door @ _clem1: https://t.co/H2j5PXO8gVpic.twitter.com/K2GoOJCPgf
- Antti Tikkanen (@anttitikkanen) 24 februari 2020
Google heeft geen informatie meer over de aanval gedeeld en het zal waarschijnlijk even duren totdat de patch op grote schaal is uitgerold. Chrome OS v 80, dat de patch vermoedelijk aan Chromebooks zou leveren, is op het moment van schrijven bijvoorbeeld nog niet beschikbaar.
Dus wat is deze mysterieuze bug precies? De aanwijzing ligt in de naam. Google noemt het een 'typeverwarring'-fout in V8 (de javascript-engine van Chrome).
Verizon biedt de Pixel 4a aan voor slechts $ 10 / maand op nieuwe Unlimited-lijnen
Oké, dat zijn woorden. Waarom is dat zo erg? Zoals uitgelegd door de beveiligingsonderzoekers bij Sophos:
Een type verwarringbug is waar je een programma kunt misleiden om gegevens voor één doel op te slaan (gegevenstype A), maar het later voor een ander doel te gebruiken (gegevenstype B).
Stel je voor dat een programma heel voorzichtig is met de waarden die je in het geheugen kunt opslaan als je het behandelt als type B.
Als een 'type B'-geheugenlocatie bijvoorbeeld een geheugenadres bijhoudt (een pointer, om de jargonwoord), dan zal het programma waarschijnlijk tot het uiterste gaan om te voorkomen dat u het op de manier aanpast Leuk vinden.
Anders zou u de mogelijkheid kunnen hebben om geheime gegevens te lezen van geheugenlocaties waartoe u geen toegang zou mogen hebben, of om onbekende en niet-vertrouwde programmacode uit te voeren, zoals malware.
Aan de andere kant kan een geheugenlocatie die wordt gebruikt om iets op te slaan, zoals een kleur die u zojuist uit een menu hebt gekozen, graag alle waarde die je leuk vindt, zoals 0x00000000 (betekent volledig transparant) helemaal tot 0xFFFFFFFF (wat betekent dat het helder wit en volledig ondoorzichtig is).
Dus als u het programma zover kunt krijgen dat u naar het geheugen schrijft onder de aanname met een laag risico dat het een kleur opslaat, maar later om die "kleur" te gebruiken als wat het denkt dat een vertrouwd geheugenadres is om de uitvoering van het programma over te brengen naar uw malware code…
... je hebt zojuist typeverwarring gebruikt om de beveiligingscontroles te omzeilen die op de geheugenpointer hadden moeten worden toegepast.
TL: DR: Als deze kwetsbaarheid actief wordt misbruikt, kan malware zich verkleden als drie kinderen in een regenjas en veiligheidscontroles voor de gek houden die bedoeld zijn om de genoemde malware buiten de deur te houden. Google heeft de kwetsbaarheid in Chrome voor de meeste mensen al verholpen, dus voel je vrij om je browser bij te werken voor maximale bescherming.
Chrome: alles wat u moet weten!
Heb je geluisterd naar de Android Central Podcast van deze week?
Elke week brengt de Android Central Podcast je het laatste technische nieuws, analyses en hot takes, met bekende mede-hosts en speciale gasten.
- Abonneer je op Pocket Casts: Audio
- Abonneren op Spotify: Audio
- Abonneer je in iTunes: Audio
We kunnen een commissie verdienen voor aankopen via onze links. Kom meer te weten.
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Geef uw smartphone of tablet meer pit met de beste pictogrampakketten voor Android.
Het is fantastisch om uw apparaat aan te passen, omdat het helpt om uw apparaat nog meer "van uzelf" te maken. Met de kracht van Android kunt u launchers van derden gebruiken om aangepaste pictogramthema's toe te voegen en dit zijn slechts enkele van onze favorieten.