Google hat nur sechs Tage nach der Veröffentlichung von Chrome 90 ein Sicherheitsupdate für seinen Browser nachgereicht, das eine Zero-Day-Lücke schließt. Nach Angaben des Unternehmens ist ein Exploit für die Schwachstelle bereits im Umlauf. In welchem Umfang er zum Einsatz kommt und ob es sich um zielgerichtete Attacken oder eine größere Malware-Kampagne handelt, lässt Google offen.
Die Schwachstelle mit der Kennung CVE-2021-21224 steckt in der JavaScript-Engine V8. Entdeckt wurde sie von Jose Martinez, der für den US-Cybersicherheitsanbieter VerSprite arbeitet. Google kennt die Anfälligkeit den Versionshinweisen zufolge seit 5. April.
Laut einem Blogeintrag von Lei Cao, einem seinem Twitter-Konto zufolge in Nanjing, China, ansässigen Sicherheitsforscher, lässt sich die Fehler in V8 benutzen, um Schadcode aus der Ferne einzuschleusen und auszuführen. Allerdings ist der Schadcode auf die Sandbox des Browsers beschränkt – um die Funktion seines Beispielscodes zu demonstrieren deaktivierte der Forscher die Sandbox von Chrome.
Darüber hinaus wirft er zumindest indirekt Google vor, selbst für das Durchsickern des Exploits verantwortlich zu sein. Am 12. April sei der Code für einen Bugfix für den Fehler 1196683 für Chromium veröffentlicht worden, womit auch ein Exploit-Muster preisgegeben worden sei. Ein Sicherheitsforscher mit dem Namen r4j0x00 habe daraus einen eigenen Exploit entwickelt und am selben Tag auf GitHub veröffentlicht. Ein weiterer Fehler mit der Nummer 1195777, den Google der Schwachstelle CVE-2021-21224 zuordnet, sei dann erneut am 15. April als Commit für Chromium eingetragen worden. “Basierend auf diesem Testfall wurde das Exploit-Muster erneut preisgegeben”, schreibt der Forscher in seinem Blog.
Ein Patch ist nun in Chrome 90.0.4430.85 für Windows, macOS und Linux enthalten. Insgesamt beseitigt das Update sieben Sicherheitslücken, wobei von mindestens fünf Anfälligkeiten ein hohes Risiko ausgeht. Entdeckt wurden sie von einem Mitarbeiter von Qihoo 360 sowie dem Forscher Brendon Tiszka. Die Höhe der Prämien, die Google den Forschern zahlt, wurde noch nicht festgelegt.
Nutzer von Chrome erhalten das Update automatisch. Unter Umständen muss der Browser neu gestartet werden, um die Installation abzuschließen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…
Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.
Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.
Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…
Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.
Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…