Suchen

Zwei Schwachstellen im Google-Browser entdeckt Google-Chrome-Patch soll Abstürze und Codeausführung verhindern

Redakteur: Stephan Augsten

Im Webbrowser Google Chrome wurden zwei Sicherheitslücken entdeckt, mit deren Hilfe ein Angreifer bösartigen Code auf betroffenen Systemen ausführen kann. Im Falle der ersten Schwachstelle ist dies nur in der geschützten Sandbox-Umgebung von Google Chrome möglich, die zweite Schwachstelle wird derweil als kritisch eingestuft.

Bevor sich Angreifer auf Chrome-Nutzer einschießen können, veröffentlicht Google ein Security-Update.
Bevor sich Angreifer auf Chrome-Nutzer einschießen können, veröffentlicht Google ein Security-Update.
( Archiv: Vogel Business Media )

Just am gleichen Tag wie die Mozilla Foundation stellt auch Google eine neue Version (2.0.172.37) seines Browser bereit. Denn sollte es einem Angreifer gelingen, einen Nutzer von Google Chrome auf eine bösartige Website zu ziehen, kann er dessen System derzeit auf zwei Wegen kompromittieren.

Einerseits kann er das aktive Tab dazu bringen, große Teile des Arbeitsspeicher-Puffers zu allokieren. Dieser Fehler lässt unter Umständen den gesamten Browser-Prozess und damit sämtliche Tabs abstürzen. Alternativ kann der Angreifer auf dem kompromittierten System auch bösartigen Codes mit den Rechten des angemeldeten Users ausführen.

Obwohl der Hacker für den letzteren Vorgang eine zweite Sicherheitslücke ausnutzen muss, um den Renderer-Prozess zu kontrollieren, stuft Google die Schwachstelle als kritisch ein. Die zweite Schwachstelle erhält demgegenüber „nur“ eine hohe Warnstufe, da der Angreifer seinen Schadcode in diesem Fall nur in der Google Chrome Sandbox ausführen kann.

Die Sandbox-Umgebung unterliegt gewissen Sicherheitsbeschränkungen, sodass negative Auswirkungen auf das Betriebssystem möglichst klein gehalten werden. Jedoch könnte der Angreifer beispielsweise auf diesem Weg weitere Sicherheitslücken auf dem System ausfindig machen. Für einen erfolgreichen Angriff ist ein speziell angepasster JavaScript-Code auf einer vom Hacker kontrollierten Website vonnöten.

Beide Schwachstellen wurden vom Google-Chrome-Sicherheitsteam entdeckt und gemeldet. Nutzer von Google Chrome können den Browser manuell aktualisieren, indem sie auf den Menüpunkt Über Google Chrome klicken. Dasurch wird die Update-Suche initiiert.

(ID:2040100)