2542795

Chromium-basierte Browser mit 0-Day-Lücke

23.10.2020 | 09:11 Uhr | Frank Ziemann

Nachdem Google ein Sicherheits-Update für Chrome 86 bereitgestellt hat, haben andere Hersteller Chromium-basierter Browser nachgezogen, um eine bereits genutzte Lücke zu schließen. Microsoft Edge, Brave und Vivaldi sind auf dem neuesten Stand, Opera ist noch nicht ganz aktuell.

In der neuen Chrome-Version 86.0.4240.111 für Windows, macOS und Linux vom 20. Oktober haben Googles Entwickler fünf Sicherheitslücken geschlossen . Wie inzwischen bekannt wurde, ist darunter eine Schwachstelle (CVE-2020-15999), die bereits aktiv ausgenutzt wird. Andere Hersteller Chromium-basierter Browser haben ebenfalls Updates bereitgestellt, die diese Lücke stopfen.

Die Schwachstelle CVE-2020-15999 steckt in der quelloffenen Bibliothek Freetype, in den Versionen 2.6 bis 2.10.3. In der am 20. Oktober erschienenen Version 2.10.4 ist die Lücke beseitigt. Ein Pufferüberlauf beim Umgang mit PNG-Bitmaps kann ausgenutzt werden, um Code einzuschleusen und auszuführen. IT-Sicherheitsfachleute warnen, dass potenzielle Angreifer den Patch gegen die Schwachstelle im offenen Quellcode durch Vergleich erkennen können, um einen Exploit zu entwickeln.

Die neuesten Sicherheits-Updates

Das haben Unbekannte offenbar längst getan – oder den Schwachpunkt schon vorher selbst entdeckt. Details zu den Angriffen sind jedoch bislang nicht bekannt. Klar ist, dass alle Programme, die Freetype nutzen, mögliche Angriffsziele darstellen. Dazu gehören etwa auch Android, iOS, Ghostscript sowie Linux- und Unix-basierte Betriebssysteme. Ein Web-Browser ist ein besonders attraktives Ziel, weil er direkt mit Web-Seiten interagiert. Eine mit Schadcode präparierte Web-Seite, auf die potenzielle Opfer über einen Link in einer Nachricht gelockt werden, gehört zum Standardrepertoire der üblichen Verdächtigen – sowohl bei gezielten Angriffen als auch bei breit gestreuten Massenattacken.

Browser

Version

Chromium-Version

Google Chrome

86.0.4240.111

86.0.4240.111

Microsoft Edge

86.0.622.51

86.0.4240.111

Brave

1.15.76

86.0.4240.111

Vivaldi

3.4.2066.86

86.0.4240.112

Opera

72.0.3815.148

86.0.4240.80

Chromium-basierte Browser – Stand: 22.10.2020

Nach Googles Chrome-Update am 20. Oktober haben Brave und Opera am schnellsten reagiert und tags darauf abgesicherte Versionen veröffentlicht. Das Update auf Brave Browser 1.15.76 bringt außer der Aktualisierung auf Chromium 86.0.4240.111 keine weiteren Änderungen. Opera hat in die ohnehin vorgesehene Version 72.0.3815.148, die noch auf Chromium 86.0.4240.75 basiert, einen Patch gegen CVE-2020-15999 eingebaut – also die abgesicherte Freetype-Version. Dies ist die erste Opera-Version auf Basis von Chromium 86.

Die neueste Microsoft Edge-Version trägt die Nummer 86.0.622.51 und ist seit 22. Oktober verfügbar. Darin sind, im Gegensatz zu Opera, alle Lücken gestopft, die in Chromium und Chrome 86.0.4240.111 beseitigt wurden. Am gleichen Tag hat auch Vivaldi die neue Browser-Version 3.4.2066.86 bereitgestellt, die bereits auf Chromium 86.0.4240.112 basiert. Alle genannten Browser verfügen über eine integrierte Update-Funktion, die Sie sinngemäß über Hilfe > Über... auch manuell anstoßen können.

Chrome 87 für Desktop soll am 17. November erscheinen.

 

PC-WELT Marktplatz

2542795