Google beseitigt unter Angriff stehende Chrome‑Bugs | WeLiveSecurity

Google beseitigt unter Angriff stehende Chrome‑Bugs

Die Fixes folgen auf Berichte von Angriffen über einen Zero-Day-Lücke in Chrome ausnutzen und eines weiteren, bisher unbekannten Windows-Fehlers.

Die Fixes folgen auf Berichte von Angriffen über einen Zero-Day-Lücke in Chrome ausnutzen und eines weiteren, bisher unbekannten Windows-Fehlers.

Zwei Wochen nachdem Google eine schon aktiv ausgenutzte Sicherheitsanfälligkeit von Chrome für Desktop gepatched hat, geht es nun um eine weiteren Zero-Day-Bug in der Browserversion für Windows, MacOS und Linux. Außerdem veröffentlicht man ein Update für Chrome für Android, welches eine weitere angegriffene Sicherheitslücke schließt.

„Google sind Berichte bekannt, wonach ein Exploit für CVE-2020-16009 in freier Wildbahn existiert“, sagte der Technologieriese über den neu entdeckten Fehler, der auf eine unangemessene Implementierung in der V8-JavaScript-Engine zurückzuführen ist und die Desktop-Versionen des Browsers betrifft.

Der als schwerwiegend eingestufte Fehler wurde von Googles Sicherheitsforschern in der Threat Analysis Group und Project Zero entdeckt. Die Details zur Sicherheitsanfälligkeit sind spärlich, da Google den Zugriff auf Fehlerdetails und Links so lange einschränkt, bis die Mehrheit der Nutzer den Fix eingespielt hat.

Laut der National Vulnerability Database könnte der Fehler „einem Angreifer die Ausnutzung einer Heap Corruption, über eine speziell präparierte HTML-Seite, ermöglichen „.

VERWANDTER ARTIKEL: Sicherheitsbegriffe erklärt: Was bedeutet Zero Day?

Benutzer sollten ihre Browser möglichst schnell auf die neueste Version (86.0.4240.183) aktualisieren. Wenn Sie automatische Updates aktiviert haben, sollte sich Ihr Browser von selbst aktualisieren. Andernfalls müssen Sie dies manuell anstoßen, indem Sie im Seitenmenü unter „Hilfe“ zum Abschnitt „Über Google Chrome“ navigieren.

Das Update fixt auch 10 weitere Sicherheitslücken, wovon sieben Fehler von externen Forschern entdeckt wurden.

Die Nachricht folgt auf eine kürzlich erfolgte Bekanntmachung von Google über eine Zero-Day-Lücke in Windows, die zusammen mit dem vor zwei Wochen veröffentlichten Chrome-Zero-Day ausgenutzt wurde.

Android-Bug

In der Zwischenzeit bestätigte Google auch, dass auch ein Fehler von Chrome für Android von Angreifern aktiv ausgenutzt wurde. Der als CVE-2020-16010 registrierte und als schwerwiegend eingestufte Fehler, wird durch einen Heap-Pufferüberlauf in der Benutzeroberfläche in Chrome für Android verursacht. Es könnte einem Angreifer, der den Renderer-Prozess kompromittiert hat, ein Sandbox-Escape mithilfe einer präparierten HTML-Seite ermöglichen.

Auch das Update auf die neueste Version von Chrome für Android (86.0.4240.185) sollte baldmöglichst installiert werden.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren