-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.01 ############################# Titel : Kwetsbaarheden verholpen in Google Chrome Advisory ID : NCSC-2021-0326 Versie : 1.01 Kans : high CVE ID : CVE-2021-21201, CVE-2021-21202, CVE-2021-21203, CVE-2021-21204, CVE-2021-21205, CVE-2021-21207, CVE-2021-21208, CVE-2021-21209, CVE-2021-21210, CVE-2021-21211, CVE-2021-21212, CVE-2021-21213, CVE-2021-21214, CVE-2021-21215, CVE-2021-21216, CVE-2021-21217, CVE-2021-21218, CVE-2021-21219, CVE-2021-21221 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : medium Omzeilen van beveiligingsmaatregel (Remote) code execution (Gebruikersrechten) Toegang tot gevoelige gegevens Uitgiftedatum : 20210416 Toepassing : Google Chrome Versie(s) : < 90.0.4430.72 Platform(s) : Update Eerder deze week hebben we in advisory NCSC-2021-0319 aandacht besteed aan een ongepatchte kwetsbaarheid in Chrome 89.0.4389.128. Deze kwetsbaarheid is ook nog aanwezig in Chrome 90.0.4430.72. Deze advisory is bijgewerkt met informatie over de ongepatchte kwetsbaarheid. Zie "Beschrijving" voor meer informatie. Beschrijving Google heeft kwetsbaarheden verholpen in de Chrome-browser. Een ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheden mogelijk misbruiken om willekeurige code uit te voeren onder de rechten van de applicatie of toegang te krijgen tot gevoelige gegevens in de context van de applicatie. Hiertoe dient de kwaadwillende het slachtoffer ertoe te bewegen een malafide webpagina te bezoeken. In advisory NCSC-2021-0319 werd melding gemaakt van een ongepatchte kwetsbaarheid in de laatste versie van Chrome 89. Deze kwetsbaarheid is ook in Chrome 90.0.4430.72 nog niet verholpen. De kwetsbaarheid kan op afstand worden misbruikt voor het uitvoeren van willekeurige code met applicatierechten. Randvoorwaardelijk voor succesvol misbruik is het kunnen uitvoeren van een sandbox-escape. Er is geen kwetsbaarheid in Chrome 90.0.4430.72 bekend die dit mogelijk maakt, waardoor het risico dat de derde kwetsbaarheid in de praktijk wordt misbruikt beperkt is. Voor de ongepatchte kwetsbaarheid is echter wel exploit-code in omloop. Er is nog geen CVE-kenmerk bekend gemaakt. Mogelijke oplossingen Google heeft updates uitgebracht om de kwetsbaarheden te verhelpen in Chrome 90.0.4430.72. Voor meer informatie, zie: https://chromereleases.googleblog.com/2021/04 /stable-channel-update-for-desktop_14.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYHlomuEs56R4sCd0AQq1ogv+MKNF/g5eGe5002tKfQNMIEBhzC0TaoGd aH/2IwMPQtNn1Si61Gsqr3e10c6iSOR9Fb6RybQes6NthLDy9talkj9vmVvxtLPe m5xxKfW/l1V3wLk+M+F0EKDduVE9T9x17zxBfQ53gwTh+/d5qfo6eNGvUzAjzmJX 9xA9+o2bIg5TY5nrbXilFEN54SE1f99+luGEoXOyoJTx82mgmE9Hp7CQ2XsfFgUX CK1BFnVRrBUAEhf8bItiejaN7j2vQpNZ+svihtTXE6821ECe07e5K0Yfgqj6cfZw 2cUFrP+Oj9TNZkGOpL4X/4S9EoJ72RcGzX+qQFv6rBLF0zTcLZEMGQzFCrsLBwcA NRpzpfdK9WiYXv9p66IaKEtKc2U/Kgt1puBmTW2P77iatURN/r8sbq7FpPM/v6RU BvXFzkD45F0VPuD7VOY10iwTtdvjBj5LNF86LIstH37OK/GLbGcljGa5JAhKdH3n uiCB9JwMMaOYhCygpy1ijeTY4IImCmxL =C/U7 -----END PGP SIGNATURE-----