Zero-Day-Exploit für Google Chrome

Google hat ein Update für Chrome veröffentlicht, um eine bisher nicht veröffentlichte oder Zero-Day-Schwachstelle zu beheben, die angegriffen wird.

Laut Google ist die hochgradig gefährliche Zero-Day-Schwachstelle, die als CVE-2022-4135 verfolgt wird, auf einen speicherbezogenen Heap-Pufferüberlauf in der GPU zurückzuführen. „Google ist sich bewusst, dass ein Exploit für CVE-2022-4135 in freier Wildbahn existiert“, so Google in seinem Advisory.

Das Problem wurde am 22. November von Clement Lecigne, einem Forscher bei der Threat Analysis Group von Google, gemeldet.  Google wird die Fehlerbehebung in den kommenden Tagen oder Wochen über die Stable-Channel-Version von Chrome ausrollen, die jetzt auf 107.0.5304.121 für Mac und Linux und 107.0.5304.121/.122 für Windows aktualisiert wurde.

Google hält die Details des Fehlers unter Verschluss, bis die Mehrheit der Nutzer mit dem Fix aktualisiert ist.  Die National Vulnerability Database des NIST enthält jedoch eine detailliertere Beschreibung von CVE-2022-4135, die erklärt, warum es sich um einen hochgradig gefährlichen Fehler handelt: Ein Angreifer kann die Sandbox von Chrome umgehen, indem er ein Ziel auf eine Webseite lockt, die so gestaltet ist, dass die Sicherheitslücke im Grafik-Renderer-Prozess ausgenutzt wird.

„Ein Heap-Pufferüberlauf in der GPU von Google Chrome vor Version 107.0.5304.121 ermöglicht es einem Angreifer, der den Renderer-Prozess kompromittiert hat, über eine manipulierte HTML-Seite aus der Sandbox auszubrechen“, so das NIST.

Es ist der achte aktiv ausgenutzte Zero-Day in Chrome, den Google in diesem Jahr gepatcht hat. Googles Project Zero Zero-Day-Tracker zählt in diesem Jahr jedoch nur sieben Chrome-Zero-Days, da CVE-2022-3075 fehlt, das am 2. September gepatcht wurde.

Die bei weitem häufigste Kategorie von Fehlern, die Chrome auf dem Zero-Day-Tracker betreffen, sind Probleme mit Speicherkorruption. Google versucht, die riesige C++-Codebasis von Chrome mit Heap-Scanning und MicarclPtr gegen Sicherheitslücken im Speicher zu schützen. Im Allgemeinen machen Speicherfehler 70 % der schwerwiegenden Bugs in Chrome aus. Beide Härtungstechniken führen zu einem Overhead bei der Leistung.

Themenseiten: Chrome, Google

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zero-Day-Exploit für Google Chrome

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *