Weitere Zero-Day-Lücke in Chrome per Twitter veröffentlicht

Google muss sich zum zweiten Mal in dieser Woche mit einer Zero-Day-Lücke in seinem Browser Chrome auseinandersetzen. Erneut hat ein Forscher Details zu einer Schwachstelle per Twitter öffentlich gemacht, statt den Bug an Google zu melden und dem Unternehmen die Möglichkeit zu geben, zeitnah einen Patch zu entwickeln.

Die neue Schwachstelle wurde von einem mutmaßlich aus Russland stammendem Forscher entdeckt, der sich Frust nennt. Auf GitHub bietet er auch einen Proof-of-Concept in Form einer HTML-Datei an. Wird diese laut einem Selbstversuch von Bleeping Computer in Chrome für Windows geladen, ist der darin enthaltene Exploit in der Lage, den Windows Editor zu starten.

Allerdings gibt es, wie schon bei der Anfang der Woche veröffentlichten Zero-Day-Lücke, eine wichtige Einschränkung: Den eingeschleusten Schadcode führt Chrome lediglich in der eigenen Sandbox aus. Der Editor startet also nur, falls Chrome mit dem Argument “—no-sandbox” ausgeführt wird. In Kombination mit einem weiteren Bug wäre allerdings auch ein Sandbox Escape denkbar.

Getestet wurde der Beispielcode von Bleeping Computer mit Chrome 89.0.4389.128. Dieses Update veröffentlichte das Unternehmen am Dienstag, um die tags zuvor durchgesickerte Zero-Day-Lücke zu beseitigen. Seit gestern ist zudem die stabile Version von Chrome 90 erhältlich, laut deren Versionshinweisen die zweite Zero-Day-Lücke jedoch noch nicht gepatcht wurde.

Stattdessen bringt Chrome 90 Fixes für insgesamt 37 Anfälligkeiten. Darunter sind auch mindestens sechs Lücken, von denen laut Google ein hohes Sicherheitsrisiko ausgeht. Ein Use-after-Free-Bug in der Komponente Permissions scheint besonders gefährlich zu sein, da der Entdecker, ein Mitarbeiter von Tencent Keen Security Lab, eine Belohnung von 20.000 Dollar erhält.

Weitere drei Use-after-Free-Bugs stecken in der Komponente Erweiterungen sowie der Browserengine Blink. Hierfür schüttet Google insgesamt 16.000 Dollar aus, wobei 10.000 Dollar an den Forscher David Erceg gehen.

Chrome 90 führt zudem eine wichtige neue Sicherheitsfunktion ein. Ab Werk ist nun das HTTPS-Protokoll voreingestellt. Alle Eingaben in die Adressleiste, denen kein Protokoll vorangestellt wird, werden automatisch als sichere HTTP-Verbindung (HTTPS) behandelt. Bis einschließlich Version 89 baute Chrome indes zuerst eine unverschlüsselte HTTP-Verbindung auf, die erst in einem zweiten Schritt zu einer verfügbaren HTTPS-Verbindung umgeleitet wurde.