Google schließt erneut Zero-Day-Lücke in Chrome

Stefan Beiersmann,
Chrome (Bild: Google)

Sie erlaubt das Einschleusen und Ausführen von Schadcode. Allerdings ist ein Angriff auf die Sandbox des Browsers beschränkt. Ein Exploit ist offenbar bereits seit 12. April öffentlich bekannt.

Google hat nur sechs Tage nach der Veröffentlichung von Chrome 90 ein Sicherheitsupdate für seinen Browser nachgereicht, das eine Zero-Day-Lücke schließt. Nach Angaben des Unternehmens ist ein Exploit für die Schwachstelle bereits im Umlauf. In welchem Umfang er zum Einsatz kommt und ob es sich um zielgerichtete Attacken oder eine größere Malware-Kampagne handelt, lässt Google offen.

Die Schwachstelle mit der Kennung CVE-2021-21224 steckt in der JavaScript-Engine V8. Entdeckt wurde sie von Jose Martinez, der für den US-Cybersicherheitsanbieter VerSprite arbeitet. Google kennt die Anfälligkeit den Versionshinweisen zufolge seit 5. April.

Laut einem Blogeintrag von Lei Cao, einem seinem Twitter-Konto zufolge in Nanjing, China, ansässigen Sicherheitsforscher, lässt sich die Fehler in V8 benutzen, um Schadcode aus der Ferne einzuschleusen und auszuführen. Allerdings ist der Schadcode auf die Sandbox des Browsers beschränkt – um die Funktion seines Beispielscodes zu demonstrieren deaktivierte der Forscher die Sandbox von Chrome.

Darüber hinaus wirft er zumindest indirekt Google vor, selbst für das Durchsickern des Exploits verantwortlich zu sein. Am 12. April sei der Code für einen Bugfix für den Fehler 1196683 für Chromium veröffentlicht worden, womit auch ein Exploit-Muster preisgegeben worden sei. Ein Sicherheitsforscher mit dem Namen r4j0x00 habe daraus einen eigenen Exploit entwickelt und am selben Tag auf GitHub veröffentlicht. Ein weiterer Fehler mit der Nummer 1195777, den Google der Schwachstelle CVE-2021-21224 zuordnet, sei dann erneut am 15. April als Commit für Chromium eingetragen worden. “Basierend auf diesem Testfall wurde das Exploit-Muster erneut preisgegeben”, schreibt der Forscher in seinem Blog.

Ein Patch ist nun in Chrome 90.0.4430.85 für Windows, macOS und Linux enthalten. Insgesamt beseitigt das Update sieben Sicherheitslücken, wobei von mindestens fünf Anfälligkeiten ein hohes Risiko ausgeht. Entdeckt wurden sie von einem Mitarbeiter von Qihoo 360 sowie dem Forscher Brendon Tiszka. Die Höhe der Prämien, die Google den Forschern zahlt, wurde noch nicht festgelegt.

Nutzer von Chrome erhalten das Update automatisch. Unter Umständen muss der Browser neu gestartet werden, um die Installation abzuschließen.