Categories: BrowserWorkspace

Google schließt erneut Zero-Day-Lücke in Chrome

Google hat nur sechs Tage nach der Veröffentlichung von Chrome 90 ein Sicherheitsupdate für seinen Browser nachgereicht, das eine Zero-Day-Lücke schließt. Nach Angaben des Unternehmens ist ein Exploit für die Schwachstelle bereits im Umlauf. In welchem Umfang er zum Einsatz kommt und ob es sich um zielgerichtete Attacken oder eine größere Malware-Kampagne handelt, lässt Google offen.

Die Schwachstelle mit der Kennung CVE-2021-21224 steckt in der JavaScript-Engine V8. Entdeckt wurde sie von Jose Martinez, der für den US-Cybersicherheitsanbieter VerSprite arbeitet. Google kennt die Anfälligkeit den Versionshinweisen zufolge seit 5. April.

Laut einem Blogeintrag von Lei Cao, einem seinem Twitter-Konto zufolge in Nanjing, China, ansässigen Sicherheitsforscher, lässt sich die Fehler in V8 benutzen, um Schadcode aus der Ferne einzuschleusen und auszuführen. Allerdings ist der Schadcode auf die Sandbox des Browsers beschränkt – um die Funktion seines Beispielscodes zu demonstrieren deaktivierte der Forscher die Sandbox von Chrome.

Darüber hinaus wirft er zumindest indirekt Google vor, selbst für das Durchsickern des Exploits verantwortlich zu sein. Am 12. April sei der Code für einen Bugfix für den Fehler 1196683 für Chromium veröffentlicht worden, womit auch ein Exploit-Muster preisgegeben worden sei. Ein Sicherheitsforscher mit dem Namen r4j0x00 habe daraus einen eigenen Exploit entwickelt und am selben Tag auf GitHub veröffentlicht. Ein weiterer Fehler mit der Nummer 1195777, den Google der Schwachstelle CVE-2021-21224 zuordnet, sei dann erneut am 15. April als Commit für Chromium eingetragen worden. “Basierend auf diesem Testfall wurde das Exploit-Muster erneut preisgegeben”, schreibt der Forscher in seinem Blog.

Ein Patch ist nun in Chrome 90.0.4430.85 für Windows, macOS und Linux enthalten. Insgesamt beseitigt das Update sieben Sicherheitslücken, wobei von mindestens fünf Anfälligkeiten ein hohes Risiko ausgeht. Entdeckt wurden sie von einem Mitarbeiter von Qihoo 360 sowie dem Forscher Brendon Tiszka. Die Höhe der Prämien, die Google den Forschern zahlt, wurde noch nicht festgelegt.

Nutzer von Chrome erhalten das Update automatisch. Unter Umständen muss der Browser neu gestartet werden, um die Installation abzuschließen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

1 Stunde ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

4 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago