Google schließt Chrome-Lücke einen Tag nach Pwnium-Hack

Gleichzeitig gratuliert es erneut dem Finder der Lücke, Sergej Glazunow. Das Update behebt zudem einige Probleme mit Flash-Spielen und Videos. Details zu Glazunows Exploit will Google erst nennen, wenn die meisten Nutzer ihren Browser aktualisiert haben.

Google hat eine Sicherheitslücke in Chrome einen Tag nach dem Hack von Sergej Glazunow wieder geschlossen. Zudem behebt das Update einige Probleme mit Flash-Games und Videos. Gleichzeitig gratuliert Google-Mitarbeiter Jason Kersey dem Sicherheitsforscher in einem Blogeintrag erneut.

Chrome Logo

Glazunow hatte im Rahmen des Google-Wettbewerbs „Pwnium“ einen Exploit demonstriert, der Chromes Sandbox vollständig umgeht. „Er bricht nicht aus der Sandbox aus, er vermeidet die Sandbox“, sagte Chrome-Security-Teammitglied Justin Schuh. „Das ist nicht einfach zu erledigen. Es ist sehr schwierig und deswegen zahlen wir 60.000 Dollar.“

Es ist nicht das erste Mal, dass Glazunow eine Schwachstelle in Chrome entdeckt hat. Er gehört zu den Sicherheitsforschern, die regelmäßig Fehler an Google melden. Die Details zum Exploit will der Suchanbieter nach eigenen Angaben unter Verschluss halten, bis der Großteil der Nutzer seinen Browser aktualisiert hat.

Auf dem gleichzeitig stattfindenden Hackerwettbewerb Pwn2Own demonstrierte auch das französische Sicherheitsunternehmen Vupen eine Möglichkeit, via Chrome einen Windows-Rechner zu übernehmen. Laut Unternehmensgründer Chaouki Bekrar nutzte sein Team insgesamt zwei Schwachstellen für den Angriff: Die erste umgeht demnach die Windows-Sicherheitsfunktionen DEP und ASLR, die zweite durchbricht die Sandbox von Chrome.

In einem Interview sagte Bekrar, Vupen habe rund sechs Wochen gebraucht, um die Anfälligkeiten zu finden und den Exploit zu schreiben. Es handele sich um einen Use-after-free-Bug in einer Standardinstallation von Chrome.

Download:

Der russische Sicherheitsforscher Sergej Glazunow hat während Googles Pwnium-Wettbewerb eine Zero-Day-Lücke in Chrome vorgeführt (Screenshot: ZDNet).
Der russische Sicherheitsforscher Sergej Glazunow hat während Googles Pwnium-Wettbewerb eine Zero-Day-Lücke in Chrome vorgeführt (Screenshot: ZDNet).

Themenseiten: Browser, Chrome, Google, Hacker

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google schließt Chrome-Lücke einen Tag nach Pwnium-Hack

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *