2566039

Chrome 88: Google stopft 0-Day-Lücke im Browser

05.02.2021 | 13:41 Uhr | Frank Ziemann

Google hat für seinen Browser Chrome ein wichtiges Update bereitgestellt. Darin haben die Google-Entwickler eine Schwachstelle beseitigt, die bereits für Angriffe genutzt wird.

Bereits seit etwa zehn Tagen wird darüber spekuliert, dass in Chrome eine Sicherheitslücke steckt, die Angreifer schon ausnutzen. Dabei soll es sich um nordkoreanische Hacker handeln, die in Staatsdiensten stehen und sich als Sicherheitsforscher ausgeben. Mit dem Chrome-Update vom 2. Februar hatte Google zwar mehrere Schwachstellen beseitigt, darunter auch eine als kritisch eingestufte, die 0-Day-Lücke war jedoch noch nicht dabei.

In der neuen Chrome-Version 88.0.4324.150 für Windows, macOS und Linux vom 4. Februar ist diese Sicherheitslücke geschlossen, die Google als hohes Risiko einstuft. Im Chrome Release Blog merkt Srinivas Sista an, dass die Schwachstelle mit der Kennung CVE-2021-21148 bereits ausgenutzt wird. Entdeckt und am 24. Januar gemeldet hat sie der Software-Entwickler Mattias Buelens. Es handelt sich um einen Pufferüberlauf in der Javascript-Engine V8. Die Höhe der Prämie für Buelens hat Google noch nicht festgelegt oder veröffentlicht.

Die neuesten Sicherheits-Updates

Googles Threat Analysis Group (TAG) berichtet , die mutmaßlich nordkoreanischen Angreifer zielten auf Sicherheitsforscher, gäben sich selbst als solche aus. Sie bieten beispielsweise die Mitarbeit an einem Visual Studio-Projekt an. In diesem steckt allerdings eine manipulierte DLL, die Visual Studio automatisch ausführt. Darin enthaltener Schadcode nimmt Kontakt zu seinem Mutterschiff, einem C&C-Server auf und öffnet den Angreifern eine Hintertür ins System. Die Malware kann auch über Downloads in Blogs verteilt werden.

Chrome-Updates sind über die im Browser integrierte Aktualisierungsfunktion erhältlich. Sie werden meist automatisch heruntergeladen und installiert. Wenn Sie nicht darauf warten möchten, können Sie das Update auch manuell unter Hilfe » Über Google Chrome anstoßen.

Die Hersteller anderer Chromium-basierter Browser werden wohl in den nächsten Tagen nachziehen. Bislang ist nur Brave zumindest auf dem Stand der Chromium-Version 88.0.4324.146 vom 2. Februar. Edge, Vivaldi und Opera hängen noch eine weitere stabile Version zurück.

Chrome für Android ist in Version 88.0.4324.152 verfügbar. Chrome 89 für Desktop soll am 2. März erscheinen.


PC-WELT Marktplatz

2566039