Sandbox Escape unter Android: Google schließt weitere Zero-Day-Lücken in Chrome

Google hat ein weiteres Sicherheitsupdate für seinen Browser Chrome veröffentlicht, mit dem auch Zero-Day-Lücken beseitigt werden. Eine von insgesamt zwei Schwachstellen, die bereits aktiv ausgenutzt werden, betrifft nicht die Desktop-Version, sondern nur die Android-App. Sie ermöglicht einen sogenannten Sandbox Escape, also das Ausführen von Schadcode außerhalb der Sandbox und damit auf dem zugrundeliegenden Betriebssystem.

Das Update für Chrome für Windows, Mac und Linux stopft insgesamt 10 Sicherheitslöcher. Details nennt Google allerdings nur zu sieben Anfälligkeit, von denen jeweils ein hohes Risiko ausgeht.

Unter anderem haben die Entwickler einen Use-after-free-Bug im User Interface beseitigt. Zudem setzte die Grafikengine Angle zuletzt eine Richtlinie nicht korrekt um – die Entdecker der beiden Schwachstellen erhalten jeweils eine Belohnung von 15.000 Dollar.

Darüber hinaus wurden Löcher in der JavaScript-Engine V8, WebRTC und der Windows-Oberfläche geschlossen. Als Zero-Day-Lücke gilt indes eine „unsachgemäße Implementierung“ in der JavaScript-Engine V8. Details zu den Angriffen, bei denen dieser Fehler zum Einsatz kommt, nannte Google jedoch nicht.

Es gilt jedoch als wahrscheinlich, dass er bei den Google bekannten Angriffen mit der in Chrome für Android steckenden Schwachstelle CVE-2020-16010 verknüpft wird. Sie ist ebenfalls mit „High“ und nicht als „kritisch“ bewertet – für sich genommen scheint die Lücke also keinen Sandbox-Escape zu erlauben. Den Sandbox Escape für Android bestätigte jedoch Ben Hawkes von Googles Project Zero in einem Tweet.

Eine ähnlich schwerwiegende Sicherheitsanfälligkeit beseitigte Google bereits in der vorletzten Woche. Hackern war es offenbar gelungen, eine bis dahin unbekannte Schwachstelle in Chrome zu benutzen, um Schadcode einzuschleusen. In Verbindung mit einer zweiten Lücke gelang dies offenbar auch außerhalb der Sandbox.

Allerdings betrifft die zweite Schwachstelle nicht den Google-Browser, sondern das Microsoft-Betriebssystem Windows. Den Bug im Kernel machte Google Ende vergangener Woche öffentlich, nachdem es Microsoft nicht gelungen war, innerhalb von sieben Tagen einen Patch bereitzustellen. Die übliche Frist von 90 Tagen für die Offenlegung einer Schwachstelle verkürzte Google auf eine Woche, da es sich um eine Zero-Day-Lücke handelte. Einen Fix soll Microsoft nun mit dem November-Patchday in der kommenden Woche bereitstellen.