Categories: BrowserWorkspace

Google schließt aktiv ausgenutzte Zero-Day-Lücke in Chrome

Google hat seinen Browser Chrome auf die Version 86.0.0.4240.111 aktualisiert. Sie schließt fünf Sicherheitslücken. Darunter ist eine Schwachstelle, von der ein hohes Risiko ausgeht und die bereits aktiv für Hackerangriffe ausgenutzt wird.

Entdeckt wurde der Fehler laut Google von Sergej Glazunov von Google Project Zero am 19. Oktober. Das Unternehmen beseitigte die Lücke mit der Kennung CVE-2020-15999 demnach innerhalb eines Tages. Sie steckt in der Komponente FreeType und erlaubt das Einschleusen von Schadcode aus der Ferne, der sich anschließend innerhalb der Sandbox des Browsers ausführen lässt.

Weitere technische Details zu der Anfälligkeit oder zu den Hintermännern der Angriffe sind nicht bekannt. Google hält diese Informationen in der Regel zurück, um Nutzern ausreichend Zeit zu geben, ihre Anwendungen zu aktualisieren, ohne dass weitere Cyberkriminelle eigene Exploits in Stellung bringen können.

Allerdings liegt auch ein separater Patch für das Open-Source-Projekt FreeType vor. Da dessen Code frei zugänglich ist, könnten Hacker nun per Reverse Engineering die Änderungen nachvollziehen, was Rückschlüsse auf den zugrundeliegenden Fehler ermöglicht – und damit auch die Entwicklung eigener Exploits in den kommenden Tagen oder Wochen.

Die weiteren Fixes betreffen die Komponenten Blink, Media, PDFium und Printing. Unter anderem beseitigt Google drei Use-after-free-Bugs, die ebenfalls eine Remotecodeausführung ermöglichen.

Nutzer des Google-Browsers sollten über den Punkt „Über Google Chrome“ im Hilfe-Menü prüfen, ob sie bereits die neueste Browserversion installiert haben. Andernfalls lässt sich damit ein automatisches Update anstoßen. Unter Umständen muss Chrome für den Abschluss der Installation neugestartet werden.

In den vergangenen zwölf Monaten musste Google nun schon zum dritten Mal eine Zero-Day-Lücke in Chrome schließen. Zuvor wurde das Unternehmen im Oktober 2019 und im Februar 2020 erst durch Hackerangriffe auf Schwachstellen in seinem Browser aufmerksam.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

12 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

12 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

13 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

15 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

18 Stunden ago

Kontoübername mit einem Klick: TikTok schließt schwerwiegende Sicherheitslücke

Ein unabhängiger Sicherheitsforscher kombiniert zwei Fehler zu einem Exploit. Betroffen ist die TikTok-Website. Der Forscher…

19 Stunden ago