Google schließt Chrome-Lücke einen Tag nach Pwnium-Hack

Google hat eine Sicherheitslücke in Chrome einen Tag nach dem Hack von Sergej Glazunow wieder geschlossen. Zudem behebt das Update einige Probleme mit Flash-Games und Videos. Gleichzeitig gratuliert Google-Mitarbeiter Jason Kersey dem Sicherheitsforscher in einem Blogeintrag erneut.

Glazunow hatte im Rahmen des Google-Wettbewerbs „Pwnium“ einen Exploit demonstriert, der Chromes Sandbox vollständig umgeht. „Er bricht nicht aus der Sandbox aus, er vermeidet die Sandbox“, sagte Chrome-Security-Teammitglied Justin Schuh. „Das ist nicht einfach zu erledigen. Es ist sehr schwierig und deswegen zahlen wir 60.000 Dollar.“

Es ist nicht das erste Mal, dass Glazunow eine Schwachstelle in Chrome entdeckt hat. Er gehört zu den Sicherheitsforschern, die regelmäßig Fehler an Google melden. Die Details zum Exploit will der Suchanbieter nach eigenen Angaben unter Verschluss halten, bis der Großteil der Nutzer seinen Browser aktualisiert hat.

Auf dem gleichzeitig stattfindenden Hackerwettbewerb Pwn2Own demonstrierte auch das französische Sicherheitsunternehmen Vupen eine Möglichkeit, via Chrome einen Windows-Rechner zu übernehmen. Laut Unternehmensgründer Chaouki Bekrar nutzte sein Team insgesamt zwei Schwachstellen für den Angriff: Die erste umgeht demnach die Windows-Sicherheitsfunktionen DEP und ASLR, die zweite durchbricht die Sandbox von Chrome.

In einem Interview sagte Bekrar, Vupen habe rund sechs Wochen gebraucht, um die Anfälligkeiten zu finden und den Exploit zu schreiben. Es handele sich um einen Use-after-free-Bug in einer Standardinstallation von Chrome.

Download:


Der russische Sicherheitsforscher Sergej Glazunow hat während Googles Pwnium-Wettbewerb eine Zero-Day-Lücke in Chrome vorgeführt (Screenshot: ZDNet).

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Tagen ago