Google heeft voor de tweede keer in nog geen twee weken tijd een ernstig beveiligingslek in de desktopversie van Chrome gepatcht waardoor een aanvaller het onderliggende systeem had kunnen overnemen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. Er zou geen verdere interactie van de gebruiker zijn vereist.
In tegenstelling tot andere browsers worden ernstige kwetsbaarheden in Chrome zelden door externe onderzoekers gevonden. Inclusief deze kwetsbaarheid zijn er dit jaar pas drie van dergelijke lekken gevonden. Vorig jaar ging het om vier lekken, een “recordaantal” voor de browser. Van 2014 tot en met 2017 werden acht ernstige kwetsbaarheden aan Google gerapporteerd, waarbij er in 2016 geen lekken met een dergelijke impact werden gevonden.
De nu verholpen ernstige kwetsbaarheid bevindt zich in de gebruikersinterface. Verdere details zijn niet gegeven. Het beveiligingslek werd ontdekt door onderzoeker Khalil Zhani. Hoeveel Google de onderzoeker zal betalen voor de melding van het lek is nog niet bekend. Op 10 september kwam Google met een update voor een andere ernstige kwetsbaarheid in Chrome. Ook de beloning voor de onderzoeker die dit probleem rapporteerde is nog niet bekendgemaakt.
Verder zijn er in Chrome 77.0.3865.90 drie andere kwetsbaarheden verholpen waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Updaten naar de nieuwste versie zal op de meeste systemen automatisch gebeuren.
Meer dan helft van populairste webshops is onvoldoende beveiligd
Meer dan de helft van de honderd populairste webshops is slecht beveiligd. Dat blijkt uit een onderzoek van Test Aankoop. Bij sommige sites kunnen hackers gemakkelijk aan persoonlijke gegevens van klanten geraken – in het ergste geval kunnen ze hen zelfs via phishing geld aftroggelen.
Test-Aankoop testte de veiligheid van de honderd meest bezochte webshops. Daarvan bleken er 55 niet veilig, bij 27 online winkels is er zelfs een ernstig veiligheidsprobleem, zegt de consumentenorganisatie. Internetreuzen als bol.com, Collishop en Zalando doen het goed. Bij hen vond Test-Aankoop geen lek.
Andere bekende online winkels zoals Blokker, AliExpress, Fnac en Vandenborre zijn niet goed genoeg beveiligd, zegt Test Aankoop. Maar de webshops van electroketen Eldi en schoenenwinkel Torfs scoren het slechtst.
Veilig shoppen met https-verbinding
Test Aankoop deed drie jaar geleden al eens dezelfde test en ook toen slaagde de helft van de online winkels niet. Als je veilig online wil shoppen, doe je dat best enkel op een website met een https-verbinding. Die zijn beter beveiligd. Betalen doe je dan weer best met een kredietkaart, dan ben je verzekerd tegen fraude.