Laut Google ist die hochgradig gefährliche Zero-Day-Schwachstelle, die als CVE-2022-4135 verfolgt wird, auf einen speicherbezogenen Heap-Pufferüberlauf in der GPU zurückzuführen. „Google ist sich bewusst, dass ein Exploit für CVE-2022-4135 in freier Wildbahn existiert“, so Google in seinem Advisory.
Das Problem wurde am 22. November von Clement Lecigne, einem Forscher bei der Threat Analysis Group von Google, gemeldet. Google wird die Fehlerbehebung in den kommenden Tagen oder Wochen über die Stable-Channel-Version von Chrome ausrollen, die jetzt auf 107.0.5304.121 für Mac und Linux und 107.0.5304.121/.122 für Windows aktualisiert wurde.
Google hält die Details des Fehlers unter Verschluss, bis die Mehrheit der Nutzer mit dem Fix aktualisiert ist. Die National Vulnerability Database des NIST enthält jedoch eine detailliertere Beschreibung von CVE-2022-4135, die erklärt, warum es sich um einen hochgradig gefährlichen Fehler handelt: Ein Angreifer kann die Sandbox von Chrome umgehen, indem er ein Ziel auf eine Webseite lockt, die so gestaltet ist, dass die Sicherheitslücke im Grafik-Renderer-Prozess ausgenutzt wird.
„Ein Heap-Pufferüberlauf in der GPU von Google Chrome vor Version 107.0.5304.121 ermöglicht es einem Angreifer, der den Renderer-Prozess kompromittiert hat, über eine manipulierte HTML-Seite aus der Sandbox auszubrechen“, so das NIST.
Es ist der achte aktiv ausgenutzte Zero-Day in Chrome, den Google in diesem Jahr gepatcht hat. Googles Project Zero Zero-Day-Tracker zählt in diesem Jahr jedoch nur sieben Chrome-Zero-Days, da CVE-2022-3075 fehlt, das am 2. September gepatcht wurde.
Die bei weitem häufigste Kategorie von Fehlern, die Chrome auf dem Zero-Day-Tracker betreffen, sind Probleme mit Speicherkorruption. Google versucht, die riesige C++-Codebasis von Chrome mit Heap-Scanning und MicarclPtr gegen Sicherheitslücken im Speicher zu schützen. Im Allgemeinen machen Speicherfehler 70 % der schwerwiegenden Bugs in Chrome aus. Beide Härtungstechniken führen zu einem Overhead bei der Leistung.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…