Google: Zweite Chrome-Zero-Day in zwei Wochen

Beide Sicherheitslücken in Chrome wurden bereits aktiv ausgenutzt. Mindestens eine mit einer bis dato nicht geschlossenen Zero Day in Windows.

Artikel veröffentlicht am , /
Google fixt Zero Days in Chrome.
Google fixt Zero Days in Chrome. (Bild: Gerd Altmann/Pixabay)

Mit Chrome 86.0.4240.183 patcht Browser-Hersteller Google eine weitere Zero Day, die bereits aktiv ausgenutzt wurde. Insgesamt behebt das Update 10 Sicherheitslücken in Chrome für Mac, Windows und Linux.

Stellenmarkt
  1. Teamleiter*in (m/w/d) Testautomatisierung Ultrasonic Parking Functions
    IAV GmbH, Gifhorn
  2. IT Field Service Agent (m/w/d) Servicecenter
    DAW SE, Enger
Detailsuche

In der Aktualisierungsankündigung bleibt Google schmallippig: Bei der Sicherheitslücke (CVE-2020-16009) soll es sich um eine "inkorrekte Implementierung" in Chromes Webassembly- und Javascript-Engine V8 handeln. Über eine präparierte HTML-Webseite kann ein Heap-Speicherfehler ausgenutzt und damit Code aus der Ferne ausgeführt werden. Die Zero Day sei am 29. Oktober von Clement Lecigne von Googles Threat Analysis Group und Samuel Groß vom Google-Projekt Zero entdeckt worden. Google seien Berichte bekannt, dass die Lücke bereits aktiv ausgenutzt werde.

Zwei Zero Days in Chrome, eine in Windows

Vor zwei Wochen hatte Google eine weitere Zero Day im Browser geschlossen, die bereits aktiv ausgenutzt wurde. Die Sicherheitslücke in der von Chrome/Chromium verwendeten Freetype-Bibliothek ermöglichte das Ausführen von Schadcode innerhalb das Browsers.

Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, bisher nicht geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zehn Tagen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht. Microsoft arbeitet derzeit an einem Fix, der zum Patch-Tuesday am Dienstag erwartet wird.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
Weitere IT-Trainings

Ob die nun in Chrome/Chromium geschlossene Zero Day ebenfalls in Kombination mit der bestehenden Kernel-Sicherheitslücke in Windows ausgenutzt wurde, ist bisher unbekannt. Dieses sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Im vergangenen Jahr entdeckte Google fünf verschiedene Exploit Chains für iPhones, die aktiv ausgenutzt wurden.

Nachtrag vom 4. November 2020, 12:51 Uhr

Zusätzlich zu den Lücken im Desktop-Browser warnt das Team von Google auch vor einer weiteren Zero-Day-Lücke (CVE-2020-16010) in der Android-Version des Chrome-Browsers, die aktiv ausgenutzt werde. Den damit möglichen Ausbruch aus der Chrome-Sandbox hat das Team mit Chrome-Build 86.0.4240.185 für Android behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /