Chrome 72.0.3626.121: Google schließt Zero-Day-Lücke

Google hat mit einem Patch für seinen Chrome-Browser eine bisher nicht öffentlich bekannte Sicherheitslücke geschlossen, die aber bereits für aktive Angriffe genutzt wurde. Die Angreifer nutzten die als CVE-2019-5786 bezeichnete und als kritisch eingestufte Schwachstelle.

Der Patch gegen diese Zero-Day-Lücke wurde mit der Chrome-Version 72.0.3626.121 in der letzten Woche ausgeliefert. Schon zu diesem Zeitpunkt diente die Schwachstelle als Einfallstor von Angriffen. Das wurde jetzt durch erweiterte Release Notes und einen Tweet des Chrome-Sicherheitschefs enthüllt. Google beschrieb die Schwachstelle als Fehler in der Speicherverwaltung von Chromes FileReader – also einer Web-API, die in allen wichtigen Browsern enthalten ist und dafür sorgt, dass Web-Apps die Inhalte von Dateien auf dem Rechner des Nutzers lesen können.

Den Fehler entdeckte Sicherheitsforscher Clement Lecigne von Googles Threat Analysis Group. Es handelt sich dabei um einen Use-after-Free-Bug, der auftritt, wenn eine Anwendung auf Speicher zuzugreifen versucht, nachdem dieser zunächst Chrome zugewiesen und dann wieder freigegeben wurde. Die unsachgemäße Durchführung eines solchen Speicherzugriffs kann die Ausführung von bösartigem Code ermöglichen.

Laut Chaouki Bekrar, CEO des Exploit-Händlers Zerodium, soll die Schwachstelle CVE-2019-5786 außerdem bösartigem Code erlauben, der Sicherheits-Sandbox von Chrome zu entkommen und Befehle auf dem darunterliegenden Betriebssystem auszuführen.

Den Nutzern von Chrome wird dringend empfohlen, über die integrierte Updatefunktion die Aktualisierung auf Version 72.0.3626.121 anzustoßen. „Ernsthaft, aktualisiert eure Chrome-Installationen … am besten noch in dieser Minute“, mahnt über Twitter Justin Schuh, der bei Google leitend für die Chrome-Sicherheit verantwortlich ist.