2547275

Zwei neue 0-Day-Lücken in Chrome

12.11.2020 | 10:10 Uhr | Frank Ziemann

Google muss seinen Browser Chrome bereits zwei Tage nach dem letzten Sicherheits-Update erneut aktualisieren. Es sind zwei weitere Schwachstellen aufgetaucht, die bereits für Angriffe ausgenutzt werden.

In der Chrome-Version 86.0.4240.198 für Windows, macOS und Linux vom 11. November haben Googles Entwickler zwei Sicherheitslücken geschlossen, für die bereits Exploit-Code gesichtet wurde. Das bedeutet offenbar, dass auch diese Chrome-Lücken, wie bereits zwei andere in den letzten Wochen, bei Angriffen genutzt werden. Es sind gerade hektische Zeiten für Chrome- und Chromium-Programmierer.

Im Chrome Release Blog berichtet Prudhvikumar Bommana, dass Google Berichte vorlägen, laut denen Exploits für beide Lücken in freier Wildbahn existierten. Die Schwachstelle CVE-2020-16013 beschreibt er als „inappropriate implementation in V8“, also als eine unangemessene Umsetzung in der Javascript-Engine V8. Was da nicht richtig umgesetzt wurde, lässt Bommana jedoch offen.

Die neuesten Sicherheits-Updates

Bei CVE-2020-16017 handelt es sich hingegen um eine Use-after-free-Lücke in der Site-Isolation. Diese soll eigentlich Code und Daten einer aufgerufenen Website vom denen anderer Websites sauber trennen, sodass die eine Website keine Daten der anderen klauen oder manipulieren kann. Beide Lücken stuft Google als hohes Risiko ein, die Bug-Prämien für die anonymen Entdecker sind noch unbestimmt (TBD: to be determined).

Die Hersteller anderer Chromium-basierter Browser (Microsoft Edge, Brave, Vivaldi) haben gerade erst das Chrome-Update vom 9. November nachvollzogen. Chrome 87 für Desktop soll am 17. November erscheinen.


PC-WELT Marktplatz

2547275