Sicherheitsupdate: Chrome-Schwachstelle wird aktiv genutzt

Google hat in Chrome eine "echte Zeroday-Chain", also eine bislang unbekannte Sicherheitslücke gefunden. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich ein Update aufspielen.

Artikel veröffentlicht am , Hanno Böck
Dringend aktualisieren: In Chrome wurde eine Sicherheitslücke gefunden, die bereits aktiv ausgenutzt wird.
Dringend aktualisieren: In Chrome wurde eine Sicherheitslücke gefunden, die bereits aktiv ausgenutzt wird. (Bild: Xnatedawgx / Wikimedia Commons/CC-BY-SA 4.0)

Google hat ein Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Es schließt eine Lücke, die offenbar bereits aktiv ausgenutzt wird. Details dazu verrät Google bislang nicht.

Stellenmarkt
  1. Leitung IT-Management (w/m/d)
    Klinikum Altmühlfranken, Gunzenhausen
  2. Operation Manager EMEA (m/w/d) Network Services
    Schweickert GmbH, Walldorf
Detailsuche

Laut der Mitteilung handelt es sich um einen Use-after-Free-Bug in der Filereader-Komponente, einer Javascript-API für den Zugriff auf lokale Dateien. Use-after-Free-Bugs gehören in Browsern zu den häufigsten Fehlern. Sie treten auf, wenn eine Software versucht, bereits freigegebenen Speicher erneut zu verwenden. Sie anzugreifen, ist dank Sicherheitsmechanismen in moderner Software sehr aufwendig, aber aufgrund ihrer Häufigkeit gehören sie trotzdem zu den wichtigsten Angriffsvektoren.

Entdeckt wurde der Fehler von Clement Lecigne von Googles Threat Analysis Group. Diese Abteilung ist dafür zuständig, reale Angriffe zu beobachten und zu analysieren. Justin Schuh von Chromes Sicherheitsteam sagte, man habe es mit einer echten Zeroday-Chain zu tun gehabt - einer bislang unbekannten Sicherheitslücke. Der Fehler sei gefunden worden, weil er bereits real ausgenutzt wurde.

Weitere Details sind bislang nicht bekannt, aber Justin Schuh empfiehlt Nutzern, ihren Browser sofort zu aktualisieren. In der stabilen Chrome-Version 72.0.3626.121 ist der Fehler behoben.

Golem Akademie
  1. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Neben Chrome dürften auch andere Browser, die die Rendering-Engine von Chrome verwenden, betroffen sein. Dazu gehören etwa der Brave-Browser und Chromium.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


hab (Golem.de) 07. Mär 2019

Chromium ist letztendlich fast identisch mit Chrome. Chromium wird von Google als FOSS...

Phantom 07. Mär 2019

Das meinst du doch jetzt nicht ernst?

Turnschuhadmin 07. Mär 2019

Hier eine Liste mit Electron basierter Software, die bestimmt noch nicht vollständig ist...

p h o s m o 06. Mär 2019

Und ich habe gestern alle manuell aktualisiert, als ich davon erfahren habe... ;) Grüße...

Rolf Schreiter 06. Mär 2019

Weil Chrome einfach besser ist...



Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Let's Encrypt: Was Admins heute tun müssen
    Let's Encrypt
    Was Admins heute tun müssen

    Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.
    Eine Anleitung von Hanno Böck

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /