2481317

Google härtet Chrome gegen NSACrypt-Lücke

17.01.2020 | 10:01 Uhr | Frank Ziemann

Google hat ein Sicherheits-Update für seinen Web-Browser Chrome bereitgestellt. Die Entwickler haben 11 Schwachstellen beseitigt und Vorkehrungen gegen die Ausnutzung der Windows Krypto-Lücke eingebaut.

Mit dem Update auf Chrome 79.0.3945.130 für Windows, Mac und Linux schließt Google mehrere Sicherheitslücken in seinem Browser. Außerdem sollen Schutzvorkehrungen verhindern, dass Angreifer die inzwischen als „NSACrypt“ oder „CurveBall“ bezeichnete Krypto-Schwachstelle in Windows über den Chrome-Browser ausnutzen.

Im Chrome Release Blog führt Krishna Govind zunächst diejenigen unter den nun geschlossenen Sicherheitslücken auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Als kritisch stuft Google die Schwachstelle CVE-2020-6378 in der Spracherkennung ein. Hierbei handelt es sich um eine Use-after-free-Lücke, die ausgenutzt werden könnte, um Code einzuschleusen und auszuführen. Ein weitere UAF-Lücke in derselben Komponente (CVE-2020-6379) hat eine niedrigere Bewertung erhalten. Wie auch CVE-2020-6380 gilt sie immerhin als hohes Risiko. Diese dritte Schwachstelle betrifft Nachrichten von Browser-Erweiterungen.

Über die anderen, intern entdeckten Sicherheitslücken, die mit diesem Update beseitigt werden, hüllt sich Google wie gewohnt in Schweigen. Krishna Govind nennt jedoch noch eine vierte extern entdeckte Schwachstelle: CVE-2020-0601. Dabei handelt es sich nicht um eine Chrome-Lücke, sondern um die Krypto-Schwachstelle in Windows 10, die Microsoft am 14. Januar im Rahmen seines Update-Dienstags geschlossen hat.

Demnach haben die Google-Entwickler nicht näher beschriebene Schutzvorkehrungen in Chrome eingebaut, um ein Ausnutzen der „NSACrypt“-Lücke zumindest zu erschweren. Ein Angreifer, der diese Schwachstelle ausnutzt, kann ein Fake-Zertifikat erstellen, mit dem er MitM-Attacken (Man in the Middle) auf TLS-verschlüsselte Web-Verbindungen ausführen kann. Benutzt das Lauschopfer Chrome, könnte der Browser eine sorgfältige Prüfung des präsentierten Zertifikats durchführen, bei der er sich nicht auf die anfällige Krypto-Bibliothek in Windows verlässt. Immerhin wurden bereits Demo-Exploits für die CurveBall-Lücke veröffentlicht.

PC-WELT Marktplatz

2481317