Categories: BrowserWorkspace

Sandbox Escape unter Android: Google schließt weitere Zero-Day-Lücken in Chrome

Google hat ein weiteres Sicherheitsupdate für seinen Browser Chrome veröffentlicht, mit dem auch Zero-Day-Lücken beseitigt werden. Eine von insgesamt zwei Schwachstellen, die bereits aktiv ausgenutzt werden, betrifft nicht die Desktop-Version, sondern nur die Android-App. Sie ermöglicht einen sogenannten Sandbox Escape, also das Ausführen von Schadcode außerhalb der Sandbox und damit auf dem zugrundeliegenden Betriebssystem.

Das Update für Chrome für Windows, Mac und Linux stopft insgesamt 10 Sicherheitslöcher. Details nennt Google allerdings nur zu sieben Anfälligkeit, von denen jeweils ein hohes Risiko ausgeht.

Unter anderem haben die Entwickler einen Use-after-free-Bug im User Interface beseitigt. Zudem setzte die Grafikengine Angle zuletzt eine Richtlinie nicht korrekt um – die Entdecker der beiden Schwachstellen erhalten jeweils eine Belohnung von 15.000 Dollar.

Darüber hinaus wurden Löcher in der JavaScript-Engine V8, WebRTC und der Windows-Oberfläche geschlossen. Als Zero-Day-Lücke gilt indes eine „unsachgemäße Implementierung“ in der JavaScript-Engine V8. Details zu den Angriffen, bei denen dieser Fehler zum Einsatz kommt, nannte Google jedoch nicht.

Es gilt jedoch als wahrscheinlich, dass er bei den Google bekannten Angriffen mit der in Chrome für Android steckenden Schwachstelle CVE-2020-16010 verknüpft wird. Sie ist ebenfalls mit „High“ und nicht als „kritisch“ bewertet – für sich genommen scheint die Lücke also keinen Sandbox-Escape zu erlauben. Den Sandbox Escape für Android bestätigte jedoch Ben Hawkes von Googles Project Zero in einem Tweet.

Eine ähnlich schwerwiegende Sicherheitsanfälligkeit beseitigte Google bereits in der vorletzten Woche. Hackern war es offenbar gelungen, eine bis dahin unbekannte Schwachstelle in Chrome zu benutzen, um Schadcode einzuschleusen. In Verbindung mit einer zweiten Lücke gelang dies offenbar auch außerhalb der Sandbox.

Allerdings betrifft die zweite Schwachstelle nicht den Google-Browser, sondern das Microsoft-Betriebssystem Windows. Den Bug im Kernel machte Google Ende vergangener Woche öffentlich, nachdem es Microsoft nicht gelungen war, innerhalb von sieben Tagen einen Patch bereitzustellen. Die übliche Frist von 90 Tagen für die Offenlegung einer Schwachstelle verkürzte Google auf eine Woche, da es sich um eine Zero-Day-Lücke handelte. Einen Fix soll Microsoft nun mit dem November-Patchday in der kommenden Woche bereitstellen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Einzelhändler im IT-Sicherheitsdilemma

Die beliebte E-Commerce-Plattform Magento, jetzt unter dem neuen Namen Adobe Commerce, enthält Schwachstellen, die Hacker…

6 Stunden ago

Digitale Risiken proaktiv mindern

Die Bewältigung und Reduzierung des Risikos von Angriffe auf die Operation Technologie (OT) ist eine…

7 Stunden ago

Energiemanagement für Nachhaltige Produktion

Energiemanagement kann zu Ökologie und Ökonomie einen wesentlichen Beitrag leisten. Was das bedeutet, erfahren Sie…

7 Stunden ago

SecurityBridge integriert SAP-Security-Lösung in die SIEM-Plattform Microsoft Sentinel

Der SAP-Sicherheits-Spezialist integriert seine Security-Plattform mit Sentinel und wird Mitglied der Microsoft Intelligent Security Association…

8 Stunden ago

Warum Software-Anbieter KMUs für sich entdecken

KMUs profitieren vom digitalen Wandel und neuen Geschäftsmodellen der IT-Anbieter, berichtet Karolin Köstler, Senior Marketing…

3 Tagen ago

Ransomware mit Teilverschlüsselung

Ransomware-Banden wie Black Cat setzen vermehrt auf Teilverschlüsselung, um sich besser zu tarnen. So können…

3 Tagen ago