2545198

Neue 0-Day-Lücken in Chrome gestopft

03.11.2020 | 10:34 Uhr | Frank Ziemann

Google hat ein weiteres Sicherheits-Update für Chrome 86 bereitgestellt. Es beseitigt zehn Schwachstellen, darunter eine Lücke, die bereits ausgenutzt wird. Auch Chrome für Android ist anfällig.

Mit dem Update auf die neue Chrome -Version 86.0.4240.183 für Windows, macOS und Linux vom 2. November haben Googles Entwickler zehn Sicherheitslücken geschlossen. Darunter ist eine Schwachstelle, die bereits aktiv ausgenutzt wird. Bereits mit dem vorherigen Chrome-Update musste Google eine 0-Day-Lücke im Browser stopfen.

Im Chrome Release Blog führt Prudhvikumar Bommana die sieben Schwachstellen auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Sämtliche dieser Lücken hat Google als hohes Risiko eingestuft, auch die 0-Day-Lücke CVE-2020-16009. Für zwei der Schwachstellen hat Google den Entdeckern je 15.000 US-Dollar Prämie zuerkannt, für eine weitere Lücke gibt es 5000 Dollar.

Die neuesten Sicherheits-Updates

Über CVE-2020-16009 ist noch nicht viel bekannt. Die Sicherheitslücke steckt in Chromes Javascript-Engine V8 und ist als „inappropriate implementation“ (unangemessene Umsetzung) beschrieben. Die beiden Entdecker, Clement Lecigne und Samuel Groß, arbeiten für unterschiedliche Google-Teams, gelten jedoch als Externe, die keine Prämien bekommen. Prudhvikumar Bommana schreibt im Chrome Release Blog, Google habe Kenntnis davon, dass ein Exploit für diese Lücke in freier Wildbahn existiere.

Chrome für Android
Wie Ben Hawkes (Google Project Zero) via Twitter meldet, hat Google in Chrome für Android ebenfalls eine 0-Day-Lücke geschlossen. Deren CVE-Nummer (CVE-2020-16010) folgt unmittelbar auf die der oben genannten Schwachstelle in Chrome für Desktop. Laut Hawkes ermöglicht die Lücke eingeschleustem Code den Ausbruch aus der Chrome-Sandbox. Wie Krishna Govind im Chrome Release Blog schreibt, handelt es sich um einen Pufferüberlauf in der Benutzerschnittstelle (UI: user interface). In Chrome für Android 86.0.4240.185 ist die Lücke beseitigt, ebenso diejenigen Schwachstellen, die auch Chrome für Desktop betreffen.

Mit CVE-2020-16011 haben die Entwickler in Chrome für Windows eine ganz ähnliche Sicherheitslücke geschlossen. Im Gegensatz zu Chrome für Android sind jedoch bislang keine Angriffe bekannt, bei denen diese Schwachstelle ausgenutzt würde. Sergej Glasunow war an der Entdeckung beider Lücken in der letzten Woche beteiligt. Glasunow suchte vor einigen Jahren noch auf eigene Rechnung mit großem Erfolg nach Chrome-Lücken. Inzwischen arbeitet er für Google Project Zero und hat daher keinen Anspruch auf Prämien mehr.

Die Hersteller anderer Chromium-basierter Browser (Brave, Edge, Opera, Vivaldi) werden hoffentlich in den nächsten Tagen ebenfalls Updates bereitstellen, um die Schwachstellen zu beseitigen. Das am 2. November bereitgestellte Update auf Edge 86.0.622.61 bringt noch keine Sicherheit.
Chrome 87 für Desktop soll am 17. November erscheinen.


PC-WELT Marktplatz

2545198