Google patcht einen Sandbox-Escape in Chrome, den ein Angreifer ausnutzen kann, indem er ein Ziel auf eine bösartige Webseite lockt.
Google hat ein Update für Chrome veröffentlicht, um einen bisher unbekannten oder angegriffenen Zero-Day-Fehler zu beheben.
Laut Google ist der Fehler mit hoher Schwere, der als CVE-2022-4135 verfolgt wird, auf einen speicherbedingten „Heap-Pufferüberlauf in der GPU“ zurückzuführen.
„Google ist sich bewusst, dass ein Exploit für CVE-2022-4135 im Umlauf ist“, Google sagt in seinem Advisory.
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist
Das Problem wurde am 22. November von Clement Lecigne, einem Forscher der Threat Analysis Group von Google, gemeldet.
Auch: Ransomware: Warum es immer noch eine große Bedrohung darstellt und wohin die Banden als nächstes gehen
Google führt den Fix in den kommenden Tagen oder Wochen über die Stable-Channel-Version von Chrome ein, die jetzt auf 107.0.5304.121 für Mac und Linux und 107.0.5304.121/.122 für Windows aktualisiert wurde.
Google hält die Details des Fehlers zurück, bis die Mehrheit der Nutzer über den Fix informiert ist.
Die National Vulnerability Database des NIST enthält jedoch eine detailliertere Beschreibung CVE-2022-4135, was erklärt, warum es sich um einen Fehler mit hoher Schwere handelt: Ein Remote-Angreifer kann der Chrome-Sandbox entkommen Locken eines Ziels auf eine Webseite, die so gestaltet ist, dass das Sicherheitsproblem im Grafik-Renderer ausgenutzt wird Verfahren.
„Heap-Pufferüberlauf in der GPU in Google Chrome vor 107.0.5304.121 ermöglichte es einem Remote-Angreifer, dies zu tun.“ hat den Renderer-Prozess kompromittiert, um möglicherweise einen Sandbox-Escape über eine manipulierte HTML-Seite durchzuführen“, so NIST Anmerkungen.
Laut Bleepingcomputer, es ist der achte aktiv ausgenutzte Zero-Day in Chrome, den Google in diesem Jahr gepatcht hat. Googles Project Zero Zero-Day-TrackerAllerdings zählt Chrome dieses Jahr nur sieben Zero Days, da CVE-2022-3075 fehlt, das am 2. September gepatcht wurde.
Die mit Abstand häufigste Kategorie von Fehlern, die Chrome im Zero-Day-Tracker betreffen, sind Speicherbeschädigungen. Google versucht, die riesige C++-Codebasis von Chrome gegen Sicherheitslücken im Speicher zu schützen Heap-Scannen Und MicarclPtr. Im Allgemeinen sind Speicherfehler für 70 % der schwerwiegenden Fehler in Chrome verantwortlich. Beide Härtungstechniken verursachen einen Mehraufwand an Leistung.
Auch wenn der Fehler wahrscheinlich bei gezielten Angriffen ausgenutzt wird, sollten Chrome-Benutzer das Update installieren, das heute bei der Überprüfung durch ZDNet verfügbar war.
- So stellen Sie sicher, dass Ihr Pixel-Telefon Robocalls automatisch ablehnt
- Testbericht zum Google Pixel Fold: Samsungs erster großer Konkurrent schneidet mit Bravour ab
- Ändern Sie diese Ein-Pixel-Einstellung für deutlich besser klingende Musik
- Google Pixel Fold vs. Samsung Galaxy Z Fold 4: Welches Telefon sollten Sie kaufen?