Google hat ein weiteres Sicherheitsupdate für seinen Browser Chrome veröffentlicht, mit dem auch Zero-Day-Lücken beseitigt werden. Eine von insgesamt zwei Schwachstellen, die bereits aktiv ausgenutzt werden, betrifft nicht die Desktop-Version, sondern nur die Android-App. Sie ermöglicht einen sogenannten Sandbox Escape, also das Ausführen von Schadcode außerhalb der Sandbox und damit auf dem zugrundeliegenden Betriebssystem.
Unter anderem haben die Entwickler einen Use-after-free-Bug im User Interface beseitigt. Zudem setzte die Grafikengine Angle zuletzt eine Richtlinie nicht korrekt um – die Entdecker der beiden Schwachstellen erhalten jeweils eine Belohnung von 15.000 Dollar.
Darüber hinaus wurden Löcher in der JavaScript-Engine V8, WebRTC und der Windows-Oberfläche geschlossen. Als Zero-Day-Lücke gilt indes eine „unsachgemäße Implementierung“ in der JavaScript-Engine V8. Details zu den Angriffen, bei denen dieser Fehler zum Einsatz kommt, nannte Google jedoch nicht.
Es gilt jedoch als wahrscheinlich, dass er bei den Google bekannten Angriffen mit der in Chrome für Android steckenden Schwachstelle CVE-2020-16010 verknüpft wird. Sie ist ebenfalls mit „High“ und nicht als „kritisch“ bewertet – für sich genommen scheint die Lücke also keinen Sandbox-Escape zu erlauben. Den Sandbox Escape für Android bestätigte jedoch Ben Hawkes von Googles Project Zero in einem Tweet.
Eine ähnlich schwerwiegende Sicherheitsanfälligkeit beseitigte Google bereits in der vorletzten Woche. Hackern war es offenbar gelungen, eine bis dahin unbekannte Schwachstelle in Chrome zu benutzen, um Schadcode einzuschleusen. In Verbindung mit einer zweiten Lücke gelang dies offenbar auch außerhalb der Sandbox.
Allerdings betrifft die zweite Schwachstelle nicht den Google-Browser, sondern das Microsoft-Betriebssystem Windows. Den Bug im Kernel machte Google Ende vergangener Woche öffentlich, nachdem es Microsoft nicht gelungen war, innerhalb von sieben Tagen einen Patch bereitzustellen. Die übliche Frist von 90 Tagen für die Offenlegung einer Schwachstelle verkürzte Google auf eine Woche, da es sich um eine Zero-Day-Lücke handelte. Einen Fix soll Microsoft nun mit dem November-Patchday in der kommenden Woche bereitstellen.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.
