Notfall-Update: Chrome-Schwachstelle wird mehrfach aktiv ausgenutzt
Zu dem von Google vor einigen Tagen veröffentlichten Update für den Chrome-Browser liegen inzwischen weitergehende Informationen vor. Diese zeigen, dass eine Notfall-Aktualisierung dringend angeraten ist, da eine Schwachstelle umfassend ausgenutzt wird.
Google hatte kürzlich außer der Reihe die Chrome-Version 105.0.5195.102 bereitgestellt. Diese schließt auf Windows-, Mac- und Linux-Systemen eine einzige kritische Sicherheitslücke. Es handelt sich für dieses Jahr bereits um die sechste Zero-Day-Schwachstelle, also ein Problem, das bei seinem Bekanntwerden längst aktiv von Malware-Entwicklern missbraucht wird.
Die Schwachstelle entstand dadurch, dass in den Mojo-Bibliotheken nur eine unzureichende Datenvalidierung vorgenommen wurde. Dadurch konnten Informationen in die verarbeitenden Prozesse eingeschleust werden, die Angreifer zu ihrem Vorteil ausnutzen konnten. Verschärfend kam hier hinzu, dass die Daten auch über die Grenzen des jeweiligen Speicherbereiches hinaus anderen Prozessen untergeschoben werden konnten.
Details folgen später
Tiefergehende Details zu dem Problem veröffentlichte Google allerdings noch nicht. Es ist eigentlich üblich, dass nach der Herausgabe eines Patches auch Beispiel-Codes für einen Exploit bereitgestellt werden, damit andere Entwickler aus dem Fehler lernen können. Google will hier aber erst einmal abwarten, bis genügend Nutzer das Chrome-Update heruntergeladen und installiert haben.
Aber auch dann könnte es sein, dass noch Detail-Informationen zurückgehalten werden. Denn den eigentlichen Fehler hat nicht Google begangen. Die betroffenen Bibliotheken kommen aus dem Open Source-Lager und werden auch in anderen Software-Produkten eingesetzt, sodass auch bei diesen die Gefahr eines Missbrauchs besteht. Von der Sicherheitslücke hat Google nach eigenen Angaben übrigens durch einen externen Sicherheitsforscher erfahren, der anonym bleiben wollte.
