Google warnt Mac- und Windows-Benutzer vor Zero-Day-Fehler in Chrome

Cyber Security News

Die Use-after-free-Schwachstelle ist die dritte Zero-Day-Schwachstelle in Google Chrome, die innerhalb von drei Monaten bekannt wurde.

Google beeilt sich, eine Schwachstelle in seinem Chrome-Browser zu beheben, die aktiv angegriffen wird – seine dritte Zero-Day-Schwachstelle in diesem Jahr. Wenn die Schwachstelle ausgenutzt wird, könnte sie Remote-Code-Ausführung und Denial-of-Service-Angriffe auf betroffenen Systemen ermöglichen.

Die Sicherheitslücke besteht in Blink, der Browser-Engine für Chrome, die als Teil des Chromium-Projekts entwickelt wurde. Browser-Engines konvertieren HTML-Dokumente und andere Webseitenressourcen in die für Endbenutzer sichtbaren visuellen Darstellungen.

“Der Stable-Channel wurde auf 89.0.4389.90 für Windows, Mac und Linux aktualisiert, was in den kommenden Tagen/Wochen ausgerollt wird”, heißt es im Sicherheitsupdate von Google vom Freitag.

Die Schwachstelle (CVE-2021-21193) wird auf der CVSS-Schwachstellenbewertungsskala mit 8,8 von 10 Punkten bewertet und ist damit hochgradig gefährlich. Es handelt sich um eine Use-after-free-Schwachstelle, die sich auf die falsche Verwendung von dynamischem Speicher während der Programmausführung bezieht. Wenn ein Programm nach dem Freigeben eines Speicherplatzes den Zeiger auf diesen Speicher nicht löscht, kann ein Angreifer den Fehler nutzen, um das Programm zu hacken, heißt es in der Beschreibung der Sicherheitslücke.

Use-After-Free Zero-Day-Schwachstelle

Laut einem IBM X-Force Schwachstellenbericht könnte der Fehler einem entfernten Angreifer die Ausführung von beliebigem Code auf dem System ermöglichen.

“Indem ein Opfer dazu gebracht wird, eine speziell gestaltete Website zu besuchen, kann ein entfernter Angreifer diese Schwachstelle ausnutzen, um beliebigen Code auszuführen oder einen Denial-of-Service-Zustand auf dem System zu verursachen”, heißt es in dem Bericht.

Weitere Details sind spärlich, da “der Zugang zu Fehlerdetails und Links möglicherweise eingeschränkt bleibt, bis eine Mehrheit der Nutzer ein Update mit einem Fix erhalten hat”, so Google. Der Fehler wurde einem anonymen Reporter zugeschrieben.

Google gab auch keine weiteren Details zu den Exploits an, außer dass es “sich der Berichte bewusst ist, dass ein Exploit für CVE-2021-21193 in freier Wildbahn existiert.”

Threatpost hat Google um einen weiteren Kommentar gebeten.

Andere Sicherheitslücken in Google Chrome

Neben der Zero-Day-Schwachstelle hat Google am Freitag vier weitere Sicherheitskorrekturen veröffentlicht.

Dazu gehört ein weiterer hochgradig gefährlicher Use-after-free-Fehler (CVE-2021-21191), der in WebRTC existiert. WebRTC, was für Web Real Time Communications steht, ist ein Open-Source-Projekt, das Webbrowsern und mobilen Anwendungen interaktive Kommunikationsmöglichkeiten (wie Sprache, Video und Chat) bietet. Die Schwachstelle wurde von jemandem gemeldet, der unter dem Alias “raven” (@raid_akame auf Twitter) auftritt.

Ein weiterer hochgradig gefährlicher Fehler ist ein Heap-Puffer-Überlauf (CVE-2021-21192), der von Chrome-Tab-Gruppen herrührt. Die Schwachstelle wurde von Abdulrahman Alqabandi von Microsoft Browser Vulnerability Research gemeldet.

Dritte Zero-Day-Sicherheitslücke in Chrome in diesem Jahr

Der Use-after-free-Fehler ist der dritte Zero-Day-Fehler, der Googles Chrome-Browser in den letzten drei Monaten geplagt hat – und der zweite allein in diesem Monat. Anfang März gab Google bekannt, dass es eine hochgradige Zero-Day-Schwachstelle im Chrome-Browser behoben hat, die von der Audio-Komponente des Browsers stammt.

Und im Februar warnte Google vor einer Zero-Day-Schwachstelle in seiner Open-Source-Web-Engine V8, die von Angreifern aktiv ausgenutzt wird; ein Patch dafür wurde in Version 88 des Google Chrome-Browsers veröffentlicht.

Chrome wird in vielen Fällen automatisch auf die neueste Version aktualisiert – Chrome-Benutzer können jedoch überprüfen, ob ein Update durchgeführt wurde: Google Chrome-Benutzer können zu chrome://settings/help gehen, indem sie auf Settings > About Chrome klicken Wenn ein Update verfügbar ist, benachrichtigt Chrome die Benutzer und startet dann den Download-Prozess Benutzer können dann den Browser neu starten, um das Update abzuschließen

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com