Verschlüsselung & Datensicherheit

Google Chrome: Update schließt Zero-Day-Lücke

Ein neues Update für den Chrome-Browser schließt eine Zero-Day-Schwachstelle. Nutzer sollten nicht zögern und umgehend aktualisieren, warnt welivesecurity.

Upgrade auf Windows 10 empfohlen

Google ließ kürzlich verlauten, dass Angreifer die Chrome-Schwachstelle nur zusammen mit einer ernsten Windows-Sicherheitslücke ausnutzen könnten. Die Windows Zero-Day-Schwachstelle betrifft den win32k.sys Kernel-Treiber. Das Ziel von Angreifern ist die Erhöhung von User-Rechten oder auch das Ausnutzen von weiteren Sicherheitslücken, um Sandboxen zu umgehen.

Laut Google ist die Windows-Sicherheitslücke nur auf Windows 7 32-bit Betriebssystemen ausnutzbar sei. Deshalb empfehlen sie das Update auf Windows 10. Google setze Microsoft über die Schwachstelle in Kenntnis. Mittlerweile arbeitet Microsoft an einen Patch für Windows 7 Systeme.

„Google ist sich der Tatsache bewusst, dass für CVE-2019-5786 bereits ein Exploit in freier Wildbahn existiert.“,

erklärte das Unternehmen in einer Stellungnahme, nach dem bereits davor gewarnt wurde.Auch der leitende Chrome Security Engineer Justin Schuh hob in einem Tweet die Dringlichkeit des Problems noch einmal hervor.

Alle Chrome-Browser betroffen

Die Sicherheitslücke betrifft alle Chrome-Browser – egal ob Mac, Linux oder Windows. Clement Lecigne von der Threat Analysis Group von Google fand die Zero-Day-Schwachstelle am 27. Februar. Dabei handelt es sich um einen „use-after-free Memory Corruption“-Bug in der FileReader API. Diese Chrome-Komponente ermöglicht Web-Apps, lokal gespeicherte Dateien zu lesen. Wie einer Anmerkung der CIS (Center for Internet Security) zu entnehmen ist, könnten Cyber-Angreifer beliebigen Code auf dem Zielsystem ferngesteuert ausführen.

Je nachdem welche Rechte mit der FileReader API einhergehen, sind Angreifer in der Lage, Programme zu installieren; Daten anzusehen, zu verändern oder zu löschen; oder neue Accounts mit umfassenden User-Rechten anzulegen. Die Zero-Day-Schwachstelle kann durch speziell zusammengestellte Webseiten getriggert werden, auf die ein User gelockt wird.

Dringend updaten

In Anbetracht der Tatsachen sollten Chrome-User schnellstmöglich auf Version 72.0.3626.121 updaten. Die einfachste Möglichkeit nach Aktualisierungen im Chrome zu suchen, ist die Eingabe von chrome://settings/help in die Browserzeile.

 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben