Google unterdessen hat nur wenige Stunden nach der Entdeckung der Sicherheitslücke ein Update veröffentlicht. Mozilla arbeitet nach eigenen Angaben schon an einem Fix. Er soll im Lauf des Donnerstags bereitgestellt werden. In der Zwischenzeit empfiehlt das Unternehmen, ein Downgrade auf Firefox 15.0.1 durchzuführen, das von der Lücke nicht betroffen sei, so Coates. “Alternativ können Nutzer auch warten, bis unsere Patches freigegeben und automatisch installiert werden.”
“Die Anfälligkeit erlaubt es einer manipulierten Website möglicherweise, die von einem Nutzer besuchten Sites zu ermitteln oder auf die URL oder die URL-Parameter zuzugreifen”, schreibt Michael Coates, Direktor für Security Assurance bei Mozilla, in einem Blogeintrag. “Zurzeit gibt es keine Anzeichen dafür, dass die Schwachstelle schon ausgenutzt wird.”
Das Loch in Chrome 22 wurde am Mittwoch von einem Hacker, der sich selbst “Pinkie Pie” nennt, im Rahmen des von Google ausgeschriebenen Wettbewerbs Pwnium 2 demonstriert. Für die Verknüpfung von zwei Anfälligkeiten zu einem Exploit, der die Sandbox von Chrome umgeht und das Einschleusen und Ausführen von Schadcode ermöglicht, erhält er von Google eine Belohnung von 60.000 Dollar.
Einem Eintrag im Chromium-Blog zufolge tritt der erste Fehler im Rendering-Prozess von WebKit bei der Verarbeitung von SVG-Daten (Scalable Vector Graphic) auf. Der zweite Bug steckt im IPC-Layer (Inter-process Communication) und ermöglicht es, die Sandbox zu verlassen. “Da dieser Exploit vollständig von Fehlern in Chrome abhängig ist und eine Codeausführung erreicht, hat er sich als ‘vollständiger Chrome Exploit’ für die höchste Belohnung qualifiziert – ein Preisgeld von 60.000 Dollar und ein Chromebook”, schreibt Software Engineer Chris Evans.
“Eine der effektivsten Schutzeinrichtungen von Chrome ist unsere kurze Antwortzeit und die Möglichkeit, Nutzer schnell mit kritischen Patches zu versorgen”, heißt es weiter in dem Blogeintrag. “Diese Bugs waren keine Ausnahme. Wir haben den Exploit sofort nach der Einreichung analysiert und weniger als 10 Stunden nach dem Ende von Pwnium 2 unsere Nutzer mit einer frisch gepatchten Version von Chrome aktualisiert.” Ähnlich wie Mozilla hatte Google erst am Montag ein Update für Chrome 22 herausgebracht.
[Mit Material von Stefan Beiersmann, ZDNet.de]
Studie von Huawei und Roland Berger beleuchtet Schlüsseltrends und neue Anforderungen an Datenspeicherlösungen im KI-Zeitalter.
Der Ausfall bei CrowdStrike ist nur ein Symptom eines größeren Problems, wenn Unternehmen es versäumen,…
PwC-Studie zeigt: KI hilft vielen Unternehmen dabei, die Effizienz zu steigern, Kosten zu senken und…
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…
Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…