Sicherheitsforscher veröffentlicht Zero-Day-Lücke für Chrome und Edge
Sie erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne. Sein Beispielcode ist eine HTML-Datei mit JavaScript-Code. Möglicherweise stellen Google und Microsoft noch heute einen Patch zur Verfügung.
Der Sicherheitsforscher Rajvardhan Agarwal hat einen funktionierenden Proof-of-Concept für eine Schwachstelle in der JavaScript-Engine V8 veröffentlicht, die von Chrome, Edge und anderen Chromium-basierten Browsern verwendet wird. Die Zero-Day-Lücke erlaubt es, Schadcode aus der Ferne einzuschleusen und auszuführen.
Bei dem Proof-of-Concept handelt es sich um eine HTML-Datei mit einer zugehörigen JavaScript-Datei. Wird sie in einem Chromium-basierten Browser geladen, öffnet sich unter Windows die vorinstallierte Taschenrechner-App.
Bleeping Computer weist darauf hin, dass der Schadcode nicht in der Lage ist, die Sandbox zu verlassen. Eine echte Gefahr stellt Agarwals Beispielcode also erst dann, wenn er mit einer weiteren Sicherheitslücke kombiniert wird, die den Sandbox Escape ermöglicht. Werden Chrome oder Edge jedoch mit inaktiver Sandbox gestartet, funktioniert der Beispielcode ohne Einschränkungen – was Bleeping Computer auch in einem Video mit Chrome 89.0.4389.114 und Edge 89.0.774.76 demonstriert.
Google sollte die Schwachstelle bereits bekannt sein. Denn der Sicherheitsforscher Niklas Baumstark geht davon aus, dass es sich um den Bug handelt, den er in der vergangenen Wochen zusammen mit seinem Kollegen Bruno Keith auf dem Hackerwettbewerb Pwn2Own 2021 vorgeführt hat. Die dort gezeigten Anfälligkeiten wurden vom Veranstalter, der Zero Day Initiative (ZDI), an die jeweiligen Hersteller der gehackten Anwendungen übergeben. Laut ZDI handelt es sich um einen Typer Mismatch Bug im Chrome Renderer.
Es wird erwartet, dass Google v die stabile Version von Chrome 90 zum Download freigibt. Ein neues Release nutzt Google stets, um auch Sicherheitslücken zu schließen. Ob allerdings auch ein Patch für die von Agarwal veröffentlichte Zero-Day-Lücke enthalten sein wird, bleibt abzuwarten. Auch Microsoft wird noch heute seine monatlichen Sicherheitspatches freigeben.