Google hat seinen Browser Chrome auf die Version 33.0.1750.152 aktualisiert. Das Update beseitigt vier Schwachstellen, die Sicherheitsforscher in der vergangenen Woche auf dem Hackerwettbewerb Pwn2Own demonstriert hatten. Wie schon in den Vorjahren ist Google damit der Anbieter, der am schnellsten auf die neuen Bedrohungen reagiert hat.
Den Versionshinweisen zufolge behebt die neue Version einen Use-after-free-Bug in der Browserengine Blink. Das französische Sicherheitsunternehmen Vupen hatte ihn mit einer Anfälligkeit in der Zwischenablage kombiniert, die offenbar nur Windows-Nutzer betrifft, um die Kontrolle über einen vollständig gepatchten Rechner mit Windows 8.1 zu übernehmen.
Darüber hinaus korrigiert Google zwei Fehler, die ein Forscher vorgeführt hat, der anonym bleiben wollte. Dabei handelt es sich um einen Speicherfehler in der JavaScript-Engine V8 sowie ein sogenanntes Directory Traversal, also die Möglichkeit, Pfadangaben zu manipulieren, um auf beliebige Dateien und Verzeichnisse zugreifen zu können.
Das von den vier Sicherheitslücken ausgehende Risiko stuft der Internetkonzern als hoch ein. In Kombination müssen sie jedoch als „kritisch“ angesehen werden, da sie das Ausführen von Schadcode außerhalb der Chrome-Sandbox erlauben.
„Wir freuen uns sehr über den Erfolg von Pwn2Own und die Möglichkeit, vollständige Exploits zu analysieren“, schreibt Anthony Laforge vom Google-Chrome-Team, in einem Blogeintrag. „Beide Beiträge sind Kunstwerke und verdienen eine breite Anerkennung.“ Weitere Details zu den Schwachstellen werde Google zu einem späteren Zeitpunkt veröffentlichen.
Hewlett-Packard hatte in der vergangenen Woche Preisgelder in Höhe von 850.000 Dollar ausgeschüttet. Vupen erhielt für die Chrome-Lücken 100.000 Dollar, der anonyme Sicherheitsforscher 60.000 Dollar.
Chrome 33.0.1750.152 steht für Windows, Mac OS X und Linux zur Verfügung. Nutzer, die den Browser schon verwenden, erhalten das Update automatisch. Es kann aber auch von der Google-Website geladen werden.
Des Weiteren hat Google mit der Verteilung eines Sicherheitspatches für Chrome für Android begonnen. Er stopft drei Löcher, darunter eine der von Vupen entdeckten Anfälligkeiten. Die beiden anderen Bugs hatten die Sicherheitsforscher George Hotz und Pinkie Pie während Googles eigenem Wettbewerb Pwnium 4 demonstriert, der parallel zu Pwn2Own stattfand.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
Betroffen sind Windows und Windows Server. Microsoft patcht aber auch Schwachstellen in Excel, Word und…
