Google schließt Zero-Day-Lücke in Chrome

Google hat seinen Browser Chrome auf die Version 88.0.4324.150 aktualisiert. Das Update für Windows, macOS und Linux schließt lediglich eine Sicherheitslücke, von der ein hohes Risiko ausgehen soll. Den Versionshinweisen zufolge liegen Google Berichte vor, wonach die Anfälligkeit mit der Kennung CVE-2021-21148 bereits aktiv von Hackern ausgenutzt wird.

Bisher sind nur wenige Details über die Schwachstelle bekannt. Google beschreibt sie als Heap-Pufferüberlauf in der JavaScript-Engine V8. Entdeckt wurde die Sicherheitslücke von Mattias Buelens, dem nun eine Belohnung in bisher nicht bekannter Höhe zusteht.

Der Schweregrad “Hoch” wird normalerweise vergeben, wenn ein Bug das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox oder das Umgehen der Same-Origin-Richtlinie erlaubt. Aber auch Fehler, die zusätzlich einen kompromittierten Renderer benötigen, um einen Sandbox Escape zu ermöglichen, fallen in diese Kategorie.

Weitere Informationen hält Google zurück, um weiteren Hackern keine Gelegenheit zu bieten, die Sicherheitslücke für ihre Zwecke einzusetzen. “Der Zugriff auf Fehlerdetails und Links kann eingeschränkt bleiben, bis eine Mehrheit der Benutzer mit einem Fix versorgt ist”, teilte Google mit.

Zuletzt hatte Google häufiger mit Zero-Day-Lücken in seinem Browser zu kämpfen. Zwischen Ende Oktober und Mitte November 2020 musste Google insgesamt fünf Anfälligkeiten beseitigen, die Hacker ins Visier genommen hatten, noch bevor ein Patch verfügbar war. Allerdings ist dies nicht zwingend ein Hinweis auf mögliche Sicherheitsprobleme. Es ist stattdessen davon auszugehen, dass sich Cyberkriminelle intensiver mit Chrome beschäftigen, um browserbasierte Angriffe umzusetzen.