Pwn2Own: Google schließt vier Sicherheitslücken in Chrome 33

Google hat seinen Browser Chrome auf die Version 33.0.1750.152 aktualisiert. Das Update beseitigt vier Schwachstellen, die Sicherheitsforscher in der vergangenen Woche auf dem Hackerwettbewerb Pwn2Own demonstriert hatten. Wie schon in den Vorjahren ist Google damit der Anbieter, der am schnellsten auf die neuen Bedrohungen reagiert hat.

Den Versionshinweisen zufolge behebt die neue Version einen Use-after-free-Bug in der Browserengine Blink. Das französische Sicherheitsunternehmen Vupen hatte ihn mit einer Anfälligkeit in der Zwischenablage kombiniert, die offenbar nur Windows-Nutzer betrifft, um die Kontrolle über einen vollständig gepatchten Rechner mit Windows 8.1 zu übernehmen.

Darüber hinaus korrigiert Google zwei Fehler, die ein Forscher vorgeführt hat, der anonym bleiben wollte. Dabei handelt es sich um einen Speicherfehler in der JavaScript-Engine V8 sowie ein sogenanntes Directory Traversal, also die Möglichkeit, Pfadangaben zu manipulieren, um auf beliebige Dateien und Verzeichnisse zugreifen zu können.

Das von den vier Sicherheitslücken ausgehende Risiko stuft der Internetkonzern als hoch ein. In Kombination müssen sie jedoch als „kritisch“ angesehen werden, da sie das Ausführen von Schadcode außerhalb der Chrome-Sandbox erlauben.

„Wir freuen uns sehr über den Erfolg von Pwn2Own und die Möglichkeit, vollständige Exploits zu analysieren“, schreibt Anthony Laforge vom Google-Chrome-Team, in einem Blogeintrag. „Beide Beiträge sind Kunstwerke und verdienen eine breite Anerkennung.“ Weitere Details zu den Schwachstellen werde Google zu einem späteren Zeitpunkt veröffentlichen.

Hewlett-Packard hatte in der vergangenen Woche Preisgelder in Höhe von 850.000 Dollar ausgeschüttet. Vupen erhielt für die Chrome-Lücken 100.000 Dollar, der anonyme Sicherheitsforscher 60.000 Dollar.

Chrome 33.0.1750.152 steht für Windows, Mac OS X und Linux zur Verfügung. Nutzer, die den Browser schon verwenden, erhalten das Update automatisch. Es kann aber auch von der Google-Website geladen werden.

Des Weiteren hat Google mit der Verteilung eines Sicherheitspatches für Chrome für Android begonnen. Er stopft drei Löcher, darunter eine der von Vupen entdeckten Anfälligkeiten. Die beiden anderen Bugs hatten die Sicherheitsforscher George Hotz und Pinkie Pie während Googles eigenem Wettbewerb Pwnium 4 demonstriert, der parallel zu Pwn2Own stattfand.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.