• IT-Karriere:
  • Services:

Google: Zweite Chrome-Zero-Day in zwei Wochen

Beide Sicherheitslücken in Chrome wurden bereits aktiv ausgenutzt. Mindestens eine mit einer bis dato nicht geschlossenen Zero Day in Windows.

Artikel veröffentlicht am , /
Google fixt Zero Days in Chrome.
Google fixt Zero Days in Chrome. (Bild: Gerd Altmann/Pixabay)

Mit Chrome 86.0.4240.183 patcht Browser-Hersteller Google eine weitere Zero Day, die bereits aktiv ausgenutzt wurde. Insgesamt behebt das Update 10 Sicherheitslücken in Chrome für Mac, Windows und Linux.

Stellenmarkt
  1. dmTECH GmbH, Karlsruhe
  2. neam IT-Services GmbH, Paderborn

In der Aktualisierungsankündigung bleibt Google schmallippig: Bei der Sicherheitslücke (CVE-2020-16009) soll es sich um eine "inkorrekte Implementierung" in Chromes Webassembly- und Javascript-Engine V8 handeln. Über eine präparierte HTML-Webseite kann ein Heap-Speicherfehler ausgenutzt und damit Code aus der Ferne ausgeführt werden. Die Zero Day sei am 29. Oktober von Clement Lecigne von Googles Threat Analysis Group und Samuel Groß vom Google-Projekt Zero entdeckt worden. Google seien Berichte bekannt, dass die Lücke bereits aktiv ausgenutzt werde.

Zwei Zero Days in Chrome, eine in Windows

Vor zwei Wochen hatte Google eine weitere Zero Day im Browser geschlossen, die bereits aktiv ausgenutzt wurde. Die Sicherheitslücke in der von Chrome/Chromium verwendeten Freetype-Bibliothek ermöglichte das Ausführen von Schadcode innerhalb das Browsers.

Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, bisher nicht geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zehn Tagen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht. Microsoft arbeitet derzeit an einem Fix, der zum Patch-Tuesday am Dienstag erwartet wird.

Ob die nun in Chrome/Chromium geschlossene Zero Day ebenfalls in Kombination mit der bestehenden Kernel-Sicherheitslücke in Windows ausgenutzt wurde, ist bisher unbekannt. Dieses sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Im vergangenen Jahr entdeckte Google fünf verschiedene Exploit Chains für iPhones, die aktiv ausgenutzt wurden.

Nachtrag vom 4. November 2020, 12:51 Uhr

Zusätzlich zu den Lücken im Desktop-Browser warnt das Team von Google auch vor einer weiteren Zero-Day-Lücke (CVE-2020-16010) in der Android-Version des Chrome-Browsers, die aktiv ausgenutzt werde. Den damit möglichen Ausbruch aus der Chrome-Sandbox hat das Team mit Chrome-Build 86.0.4240.185 für Android behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Zotac GAMING GeForce RTX 3070 Twin Edge OC für 670,17€, PNY GeForce RTX 3090 XLR8 Gaming...

Hotohori 04. Nov 2020 / Themenstart

Bei der Verbreitung von Chrome ist es immer noch sicherer statt dessen eine Alternative...

Kommentieren


Folgen Sie uns
       


Demon's Souls Remake (PS5) - Fazit

Im Testvideo stellt Golem.de das Remake des epischen Fantasy-Rollenspiels Demon's Souls für die Playstation 5 vor.

Demon's Souls Remake (PS5) - Fazit Video aufrufen
Star Wars: Darth-Vader-Darsteller Dave Prowse ist tot
Star Wars
Darth-Vader-Darsteller Dave Prowse ist tot

Er war einer der großen Stars der originalen Star-Wars-Trilogie und doch kaum jemandem bekannt. David Prowse ist im Alter von 85 Jahren gestorben.
Ein Nachruf von Peter Osteried

  1. Spaceballs Möge der Saft mit euch sein
  2. The Mandalorian Erste Folge der zweiten Staffel ist online
  3. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf

CoD, Crysis, Dirt 5, Watch Dogs, WoW: Radeon-Raytracing kann auch schnell sein
CoD, Crysis, Dirt 5, Watch Dogs, WoW
Radeon-Raytracing kann auch schnell sein

Wer mit Raytracing zockt, hat je nach Titel mit einer Radeon RX 6800 statt einer Geforce RTX 3070 teilweise die besseren (Grafik-)Karten.
Ein Test von Marc Sauter


    IT-Teams: Jeder möchte wichtig sein
    IT-Teams
    Jeder möchte wichtig sein

    Teams bestehen in der IT häufig aus internen und externen, angestellten und freien Mitarbeitern. Damit alle zusammenarbeiten, müssen Führungskräfte umdenken.
    Von Miriam Binner

    1. Digital-Gipfel Wirtschaft soll 10.000 zusätzliche IT-Lehrstellen schaffen
    2. Weiterbildung Was IT-Führungskräfte können sollten
    3. IT-Profis und Visualisierung Sag's in Bildern

      •  /