Google hat eine Sicherheitslücke in Chrome einen Tag nach dem Hack von Sergej Glazunow wieder geschlossen. Zudem behebt das Update einige Probleme mit Flash-Games und Videos. Gleichzeitig gratuliert Google-Mitarbeiter Jason Kersey dem Sicherheitsforscher in einem Blogeintrag erneut.
Glazunow hatte im Rahmen des Google-Wettbewerbs „Pwnium“ einen Exploit demonstriert, der Chromes Sandbox vollständig umgeht. „Er bricht nicht aus der Sandbox aus, er vermeidet die Sandbox“, sagte Chrome-Security-Teammitglied Justin Schuh. „Das ist nicht einfach zu erledigen. Es ist sehr schwierig und deswegen zahlen wir 60.000 Dollar.“
Es ist nicht das erste Mal, dass Glazunow eine Schwachstelle in Chrome entdeckt hat. Er gehört zu den Sicherheitsforschern, die regelmäßig Fehler an Google melden. Die Details zum Exploit will der Suchanbieter nach eigenen Angaben unter Verschluss halten, bis der Großteil der Nutzer seinen Browser aktualisiert hat.
Auf dem gleichzeitig stattfindenden Hackerwettbewerb Pwn2Own demonstrierte auch das französische Sicherheitsunternehmen Vupen eine Möglichkeit, via Chrome einen Windows-Rechner zu übernehmen. Laut Unternehmensgründer Chaouki Bekrar nutzte sein Team insgesamt zwei Schwachstellen für den Angriff: Die erste umgeht demnach die Windows-Sicherheitsfunktionen DEP und ASLR, die zweite durchbricht die Sandbox von Chrome.
In einem Interview sagte Bekrar, Vupen habe rund sechs Wochen gebraucht, um die Anfälligkeiten zu finden und den Exploit zu schreiben. Es handele sich um einen Use-after-free-Bug in einer Standardinstallation von Chrome.
Download:
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.