2066869

Google stopft Pwn2Own-Lücke in Chrome

03.04.2015 | 16:23 Uhr |

Google hat seinen Web-Browser Chrome aktualisiert, um mehrere Sicherheitslücken zu schließen. Darunter ist auch eine, die beim Hacker-Wettbewerb Pwn2Own demonstriert wurde.

Die Teilnehmer des Hacker-Wettbewerbs Pwn2Own hatten im März gezeigt, dass sie sämtliche Browser knacken können, auch Chrome. Sie haben bis dahin nicht bekannte Sicherheitslücken ausgenutzt, um die Kontrolle über das System zu übernehmen. Mozilla hatte die entsprechende Firefox-Lücken bereits sehr kurzfristig geschlossen. Die Chrome-Schwachstelle war offenbar etwas schwieriger auszumerzen – Googles Entwickler haben dafür immerhin fast zwei Wochen gebraucht.

Der Sicherheitsforscher JungHoon Lee ("lokihardt") demonstrierte am zweiten Tag des Wettbewerbs, dass er mit einem in Chrome provozierten Pufferüberlauf und Lücken in Windows Kerneltreibern beliebigen Programm-Code mit Systemrechten ausführen konnte. Den Pufferüberlauf in Chrome erzeugte lokihardt über eine so genannte "Race Condition" in der Grafikeinheit (GPU), bei der zwei parallele Vorgänge um einen Schreibzugriff auf dieselbe Speicheradresse konkurrieren. Je nach den exakten Startbedingungen kann das Ergebnis ganz unterschiedlich ausfallen. Das macht das Auffinden und Beheben des Programmierfehlers schwieriger.

Mit der aktuellen Chrome-Version 41.0.2272.118 haben die Google-Entwickler diese Aufgabe gelöst. Sie haben außerdem mehrere Bugs beseitigt, die sich in einer als kritisch eingestufte Kombination nutzen lassen, um Code außerhalb der Sandbox auszuführen. Für die Meldung dieser Bug-Kombination erhält ein nicht genannter Sicherheitsforscher knapp 30.000 US-Dollar. Zudem haben die Entwickler zwei Lücken gestopft, die sie selbst entdeckt hatten.

Chrome aktualisiert sich im Regelfall automatisch. Ähnlich wie bei Firefox können Sie jedoch auch durch Aufruf des Menüeintrags "Über Google Chrome" eine Update-Prüfung anstoßen.

0 Kommentare zu diesem Artikel
2066869