Categories: BrowserWorkspace

Sicherheitsforscher veröffentlicht Zero-Day-Lücke für Chrome und Edge

Der Sicherheitsforscher Rajvardhan Agarwal hat einen funktionierenden Proof-of-Concept für eine Schwachstelle in der JavaScript-Engine V8 veröffentlicht, die von Chrome, Edge und anderen Chromium-basierten Browsern verwendet wird. Die Zero-Day-Lücke erlaubt es, Schadcode aus der Ferne einzuschleusen und auszuführen.

Bei dem Proof-of-Concept handelt es sich um eine HTML-Datei mit einer zugehörigen JavaScript-Datei. Wird sie in einem Chromium-basierten Browser geladen, öffnet sich unter Windows die vorinstallierte Taschenrechner-App.

Bleeping Computer weist darauf hin, dass der Schadcode nicht in der Lage ist, die Sandbox zu verlassen. Eine echte Gefahr stellt Agarwals Beispielcode also erst dann, wenn er mit einer weiteren Sicherheitslücke kombiniert wird, die den Sandbox Escape ermöglicht. Werden Chrome oder Edge jedoch mit inaktiver Sandbox gestartet, funktioniert der Beispielcode ohne Einschränkungen – was Bleeping Computer auch in einem Video mit Chrome 89.0.4389.114 und Edge 89.0.774.76 demonstriert.

Google sollte die Schwachstelle bereits bekannt sein. Denn der Sicherheitsforscher Niklas Baumstark geht davon aus, dass es sich um den Bug handelt, den er in der vergangenen Wochen zusammen mit seinem Kollegen Bruno Keith auf dem Hackerwettbewerb Pwn2Own 2021 vorgeführt hat. Die dort gezeigten Anfälligkeiten wurden vom Veranstalter, der Zero Day Initiative (ZDI), an die jeweiligen Hersteller der gehackten Anwendungen übergeben. Laut ZDI handelt es sich um einen Typer Mismatch Bug im Chrome Renderer.

Es wird erwartet, dass Google v die stabile Version von Chrome 90 zum Download freigibt. Ein neues Release nutzt Google stets, um auch Sicherheitslücken zu schließen. Ob allerdings auch ein Patch für die von Agarwal veröffentlichte Zero-Day-Lücke enthalten sein wird, bleibt abzuwarten. Auch Microsoft wird noch heute seine monatlichen Sicherheitspatches freigeben.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Mai-Patchday: Wichtige Updates von Microsoft und Adobe

Beide Unternehmen stopfen auch Zero-Day-Löcher in ihren Produkten. Microsoft bringt es auf insgesamt 55 Schwachstellen…

20 Stunden ago

Teabot: Neue Android-Malware nimmt auch deutsche Banken ins Visier

Der Trojaner spricht insgesamt sechs Sprachen. Er verschafft sich Zugriff auf alle Bildschirminhalte, um ein…

23 Stunden ago

Intel stellt mobile Core-H-Prozessoren der elften Generation vor

Das Spitzenmodell kommt mit acht Kernen und 24 MByte Level-3-Cache. Im Turbo-Modus erreicht der Chip…

1 Tag ago

B2B-Marktplätze: Die bessere Alternative zum B2B-Shop?

Nicht immer ist der Onlineshop der wichtigste oder einzig heilsbringende digitale Vertriebskanal für B2B-Unternehmen. Zumal…

2 Tagen ago

API-Schwachstellen als Hintertür ins Netzwerk

Im Jahr 2022 soll der Missbrauch von APIs (Application Programming Interfaces) der häufigste Angriffsvektor bei…

2 Tagen ago

Samsung stellt erstmals DRAM-Module mit CXL-Interface vor

Sie basieren auf PCIe 5.0. Das neue Interface erlaubt höhere Speicherkapazitäten bei geringeren Speicherlatenzen. Einsatzgebiete…

2 Tagen ago