Doorgaan Annuleren

Kritieke lekken in Google Chrome geplakt

10 september 2008 20:26

Google heeft dit weekend met een update twee kritieke kwetsbaarheden en enkele minder belangrijke weeffouten in zijn Chrome-browser gerepareerd. Maandag lichtte het bedrijf de inhoud van de update toe in een nieuwe blog, die gewijd is aan updates en nieuwe software voor Chrome.

De update, versie 0.2.149.29, vervangt de vorige week gelanceerde b?taversie van Chrome en is de afgelopen dagen automatisch verspreid. De update geeft de browser geen nieuwe functionaliteit maar repareert een aantal fouten en lekken.

Controle overnemen
De belangrijkste daarvan zijn twee kritieke buffer overrun-kwetsbaarheden. Aanvallers kunnen deze misbruiken om van een afstand willekeurige code uit te voeren op de pc van een Chrome-gebruiker, en deze volledig over te nemen.

De eerste kritieke patch pakt het zogenaamde 'Save As'-lek in Chrome aan. Het gevaar zat hier in de afhandeling van extra lange bestandsnamen in het Save As-venster. De tweede ernstige kwetsbaarheid zat in de afhandeling van websiteadressen die verschijnen in de statusbalk wanneer de gebruiker met zijn cursor over een link beweegt. Ook dit heeft Google aangepast.

Browsercrash
Google repareerde tevens twee minder urgente veiligheidskwesties. De eerste is een probleem waarbij het ingeven van "about:%" in de adresbalk de browser kan laten crashen. De laatste veiligheidspatch verzekert dat de desktop van de gebruiker niet is ingesteld als standaard downloadmap, om het risico op "gerommel met de desktop" te beperken.

Ongevaarlijke fouten
De rest van de update repareert bugs die geen gevaar voor de veiligheid vormen. Het gaat om een Javascript-fout in combinatie met Facebook; een aantal datatransferproblemen in de Save Browsing-modus die onnodig verkeer veroorzaakten; en niet goed werkende zoeksuggesties van een aantal zoekmachines op niet-Amerikaanse sites.

Automatische update
Graag of niet: de kersverse browser vernieuwt zichzelf. "Google Chrome zal automatisch, waarschijnlijk iedere vijf uur, controleren of er updates zijn. Als een update beschikbaar is, zal die worden gedownload en toegepast bij de volgende browserstart", aldus Google.

Het bedrijf heeft gekozen voor automatische updates zonder interventie van gebruikers, met het oog op snelheid en veiligheid. Aankondigingen van en uitleg over updates zullen voortaan wel worden gepubliceerd, in de nieuwe blog Google Chrome Releases.

Lees verder op

Reacties op dit onderwerp