Google: Zweite Chrome-Zero-Day in zwei Wochen

Beide Sicherheitslücken in Chrome wurden bereits aktiv ausgenutzt. Mindestens eine mit einer bis dato nicht geschlossenen Zero Day in Windows.

Artikel veröffentlicht am , /
Google fixt Zero Days in Chrome.
Google fixt Zero Days in Chrome. (Bild: Gerd Altmann/Pixabay)

Mit Chrome 86.0.4240.183 patcht Browser-Hersteller Google eine weitere Zero Day, die bereits aktiv ausgenutzt wurde. Insgesamt behebt das Update 10 Sicherheitslücken in Chrome für Mac, Windows und Linux.

Stellenmarkt
  1. Requirements Engineer (w/m/d) Softwareentwicklung
    SSI SCHÄFER IT Solutions GmbH, Dortmund
  2. IT-Anwendungsentwickler / Service Manager (m/w/d)
    Bistum Augsburg, Augsburg
Detailsuche

In der Aktualisierungsankündigung bleibt Google schmallippig: Bei der Sicherheitslücke (CVE-2020-16009) soll es sich um eine "inkorrekte Implementierung" in Chromes Webassembly- und Javascript-Engine V8 handeln. Über eine präparierte HTML-Webseite kann ein Heap-Speicherfehler ausgenutzt und damit Code aus der Ferne ausgeführt werden. Die Zero Day sei am 29. Oktober von Clement Lecigne von Googles Threat Analysis Group und Samuel Groß vom Google-Projekt Zero entdeckt worden. Google seien Berichte bekannt, dass die Lücke bereits aktiv ausgenutzt werde.

Zwei Zero Days in Chrome, eine in Windows

Vor zwei Wochen hatte Google eine weitere Zero Day im Browser geschlossen, die bereits aktiv ausgenutzt wurde. Die Sicherheitslücke in der von Chrome/Chromium verwendeten Freetype-Bibliothek ermöglichte das Ausführen von Schadcode innerhalb das Browsers.

Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, bisher nicht geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zehn Tagen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht. Microsoft arbeitet derzeit an einem Fix, der zum Patch-Tuesday am Dienstag erwartet wird.

Golem Akademie
  1. PostgreSQL Fundamentals
    14.-17. September 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

Ob die nun in Chrome/Chromium geschlossene Zero Day ebenfalls in Kombination mit der bestehenden Kernel-Sicherheitslücke in Windows ausgenutzt wurde, ist bisher unbekannt. Dieses sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Im vergangenen Jahr entdeckte Google fünf verschiedene Exploit Chains für iPhones, die aktiv ausgenutzt wurden.

Nachtrag vom 4. November 2020, 12:51 Uhr

Zusätzlich zu den Lücken im Desktop-Browser warnt das Team von Google auch vor einer weiteren Zero-Day-Lücke (CVE-2020-16010) in der Android-Version des Chrome-Browsers, die aktiv ausgenutzt werde. Den damit möglichen Ausbruch aus der Chrome-Sandbox hat das Team mit Chrome-Build 86.0.4240.185 für Android behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  2. Open Source: Canonical unterstützt den Blender-Einsatz
    Open Source
    Canonical unterstützt den Blender-Einsatz

    Die Firma hinter Ubuntu bietet Support für die Open-Source 3D-Grafiksuite Blender an: für Windows, Mac und Linux.

  3. iPhone: Apple warnt offenbar Leaker aus China
    iPhone
    Apple warnt offenbar Leaker aus China

    Bevor Apple neue Geräte veröffentlicht, gibt es oft eine Reihe von Leaks aus chinesischen Produktionsanlagen. Leaker haben nun Post bekommen.

Hotohori 04. Nov 2020

Bei der Verbreitung von Chrome ist es immer noch sicherer statt dessen eine Alternative...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /