Google muss seinen Browser Chrome bereits zwei Tage nach dem letzten Sicherheits-Update erneut aktualisieren. Es sind zwei weitere Schwachstellen aufgetaucht, die bereits für Angriffe ausgenutzt werden.
In der Chrome-Version 86.0.4240.198 für Windows, macOS und Linux vom 11. November haben Googles Entwickler zwei Sicherheitslücken geschlossen, für die bereits Exploit-Code gesichtet wurde. Das bedeutet offenbar, dass auch diese Chrome-Lücken, wie
bereits zwei andere
in den letzten Wochen, bei Angriffen genutzt werden. Es sind gerade hektische Zeiten für Chrome- und Chromium-Programmierer.
Im
Chrome Release Blog
berichtet Prudhvikumar Bommana, dass Google Berichte vorlägen, laut denen Exploits für beide Lücken in freier Wildbahn existierten. Die Schwachstelle CVE-2020-16013 beschreibt er als „inappropriate implementation in V8“, also als eine unangemessene Umsetzung in der Javascript-Engine V8. Was da nicht richtig umgesetzt wurde, lässt Bommana jedoch offen.
➤
Die neuesten Sicherheits-Updates
Bei CVE-2020-16017 handelt es sich hingegen um eine Use-after-free-Lücke in der Site-Isolation. Diese soll eigentlich Code und Daten einer aufgerufenen Website vom denen anderer Websites sauber trennen, sodass die eine Website keine Daten der anderen klauen oder manipulieren kann. Beide Lücken stuft Google als hohes Risiko ein, die Bug-Prämien für die anonymen Entdecker sind noch unbestimmt (TBD: to be determined).
Die Hersteller anderer Chromium-basierter Browser (Microsoft Edge, Brave, Vivaldi) haben gerade erst das
Chrome-Update vom 9. November
nachvollzogen.
Chrome
87 für Desktop soll am 17. November erscheinen.