Google: Zweite Chrome-Zero-Day in zwei Wochen

Beide Sicherheitslücken in Chrome wurden bereits aktiv ausgenutzt. Mindestens eine mit einer bis dato nicht geschlossenen Zero Day in Windows.

Artikel veröffentlicht am , /
Google fixt Zero Days in Chrome.
Google fixt Zero Days in Chrome. (Bild: Gerd Altmann/Pixabay)

Mit Chrome 86.0.4240.183 patcht Browser-Hersteller Google eine weitere Zero Day, die bereits aktiv ausgenutzt wurde. Insgesamt behebt das Update 10 Sicherheitslücken in Chrome für Mac, Windows und Linux.

In der Aktualisierungsankündigung bleibt Google schmallippig: Bei der Sicherheitslücke (CVE-2020-16009) soll es sich um eine "inkorrekte Implementierung" in Chromes Webassembly- und Javascript-Engine V8 handeln. Über eine präparierte HTML-Webseite kann ein Heap-Speicherfehler ausgenutzt und damit Code aus der Ferne ausgeführt werden. Die Zero Day sei am 29. Oktober von Clement Lecigne von Googles Threat Analysis Group und Samuel Groß vom Google-Projekt Zero entdeckt worden. Google seien Berichte bekannt, dass die Lücke bereits aktiv ausgenutzt werde.

Zwei Zero Days in Chrome, eine in Windows

Vor zwei Wochen hatte Google eine weitere Zero Day im Browser geschlossen, die bereits aktiv ausgenutzt wurde. Die Sicherheitslücke in der von Chrome/Chromium verwendeten Freetype-Bibliothek ermöglichte das Ausführen von Schadcode innerhalb das Browsers.

Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, bisher nicht geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zehn Tagen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht. Microsoft arbeitet derzeit an einem Fix, der zum Patch-Tuesday am Dienstag erwartet wird.

Ob die nun in Chrome/Chromium geschlossene Zero Day ebenfalls in Kombination mit der bestehenden Kernel-Sicherheitslücke in Windows ausgenutzt wurde, ist bisher unbekannt. Dieses sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Im vergangenen Jahr entdeckte Google fünf verschiedene Exploit Chains für iPhones, die aktiv ausgenutzt wurden.

Nachtrag vom 4. November 2020, 12:51 Uhr

Zusätzlich zu den Lücken im Desktop-Browser warnt das Team von Google auch vor einer weiteren Zero-Day-Lücke (CVE-2020-16010) in der Android-Version des Chrome-Browsers, die aktiv ausgenutzt werde. Den damit möglichen Ausbruch aus der Chrome-Sandbox hat das Team mit Chrome-Build 86.0.4240.185 für Android behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Shopping
Amazon gibt Hinweis bei häufig zurückgeschickten Produkten

Mit einem neuen Hinweis sollen Amazon-Kunden vor dem Kauf besser abschätzen können, wie zufrieden sie mit einem Kauf sein werden.

Shopping: Amazon gibt Hinweis bei häufig zurückgeschickten Produkten
Artikel
  1. Discounter: Netto reduziert Balkonkraftwerk auf 500 Euro
    Discounter
    Netto reduziert Balkonkraftwerk auf 500 Euro

    Der Lebensmitteldiscounter Netto bietet ein 600-Watt-Balkonkraftwerk mit zwei Modulen für mittlerweile 499 Euro an.

  2. Microsoft-Geräte mit Intel sind ideal für flexiblen Einsatz
     
    Microsoft-Geräte mit Intel sind ideal für flexiblen Einsatz

    Mit modernen Geräten und einer sicheren Verwaltung ermöglichen es Microsoft Surface und Intel Beschäftigen, hybrides Arbeiten flexibel selbst zu gestalten. Die freie Wahl des Arbeitsortes stärkt die Produktivität und Motivation der Mitarbeiter.
    Sponsored Post von Office Partner

  3. Restrukturierung nach Milliardenverlust: E-Auto-Bauer Lucid entlässt 1.300 Angestellte
    Restrukturierung nach Milliardenverlust
    E-Auto-Bauer Lucid entlässt 1.300 Angestellte

    Um Kosten zu sparen, strukturiert sich der Elektroauto-Hersteller neu. 18 Prozent der Belegschaft müssen gehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Nur noch heute: Amazon Frühlingsangebote • MindStar: MSI RTX 4080 1.249€, Powercolor RX 7900 XTX OC 999€ • Fernseher Samsung & Co. bis -43% • Monitore bis -50% • Bosch Prof. bis -59% • Windows Week • Logitech bis -49% • Alexa-Sale bei Amazon • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /