Google Chrome schließt kritische Sicherheitslücken

17.01.2020 09:49 Uhr heise

Chrome Browser warnt vor NSA-Windows-LÃ¼cke

Die Entwickler von Google haben in der aktuellen Version 79․0․3945.130 des Webbrowser Chrome mehrere Sicherheitslücken geschlossen die es Angreifern ermöglichten, Schadcode einzuschleusen und sich dauerhaft auf Computern einzunisten. Eine der Schwachstellen wurde als "kritisch" eingestuft und könnte durch Auslösen eines Speicherfehlers (use-after-free) ausgenutzt werden. Google gibt keine Details zu möglichen Angriffsszenarien bekannt. Die Sicherheitsupdates betreffen die Betriebssysteme Linux macOS & Windows.

Eine Schwachstelle (CVE-20206478) ist mit dem Bedrohungsgrad "kritisch" eingestuft. Durch ein erfolgreiches Ausnutzen könnte ein Angreifer einen Speicherfehler (use-after-free) auslösen und so Schadcode ausführen. Wie ein konkretes Angriffsszenario aussehen könnte, führt Google in einem Beitrag zur aktuellen Chrome-Version nicht aus.

Für die drei weiteren Schwachstellen hat Google das Angriffsrisiko "hoch" vergeben. Darunter befindet sich ebenfalls die Windows-Lücke, die welche National Security Agency (NSA) an Microsoft gemeldet hat. Microsoft hat die Sicherheitslücke am Patchday geschlossen.

Setzen Angreifer an dieser Schwachstelle in der Windows-Krypto-Bibliothek Crypt32.dll an, könnten sie beispielsweise Zertifikate fälschen und so betrügerische Websites gegenüber Webbrowsern als legitime und vertrauenswürdige Seite aussehen lassen.

Chrome kann helfen

Da mittlerweile mehrere Exploits zum Ausnutzen der Lücke erschienen sind, sollten Windows-Nutzer die Sicherheitspatches zügig über Windows Update installieren. In der Regel geschieht dies automatisch. Von der Schwachstelle sind Microsoft zufolge ausschließlich Windows 10 & Windows Server 2016/2019 betroffen.

Auf ungepatchten Systemen kann nun Chrome dazwischen grätschen: Einem Entwickler des Browsers zufolge haben sie einen erweiterten Integritätscheck von Zertifikaten eingebaut der in diesem Kontext präparierte TLS-Zertifikate erkennt. Will man nun mit einem ungepatchten Windows-System eine mit einem präparierten Zertifikat ausgestattete Seite besuchen, zeigt der Browser eine Warnung an und blockt den Besuch.

Zuletzt aktualisiert am 14.04.2023 09:09 Uhr

Kommentare

Ähnliche News

Android-Update: Google schließt sechs kritische Sicherheitslücken auf Nexus-Geräten

Google schließt mit einem neuen Sicherheits-Update sechs kritische Sicherheitslücken im Android-System von Nexus-Smartphones und -Tablets. Das Update bekommen ebenfalls ältere Geräte wie die welche Tablet-Modelle Nexus 7 (2013) und Nexus 10.

Android-Update: Google schließt 25 Sicherheitslücken und benennt Update-Programm um

Mit dem neuen Sicherheitsupdate für den Mai schließt Google sechs kritische Sicherheitslücken im Android-Betriebssystem, darunter einige die welche kompletten System-Zugriff ermöglichten. Außerdem wird das Update-Programm umbenannt.

Sicherheitsupdates für Firefox und Chrome stopfen kritische Schwachstellen

Browser-Updates für Chrome und Firefox stopfen kritische Lücken

Google und Mozilla haben kritische Sicherheitslücken in ihren Web-Browsern behoben. Diese Schwachstellen können von Angreifern ausgenutzt werden um Drive-By-Attacken durchzuführen. Beide Unternehmen haben Sicherheitsupdates für ihre Browser Chrome und Firefox veröffentlicht.

Android-Update: Google schließt 21 Sicherheitslücken und lässt das Nexus 10 fallen

Mit dem neuen Sicherheitsupdate für den Juni schließt Google sechs kritische Sicherheitslücken im Android-Betriebssystem, darunter einige die welche kompletten System-Zugriff ermöglichten.

Chrome 74 schließt 39 Sicherheitslücken

Chrome 74 hat 39 Sicherheitspatches an Bord

Chrome-Browser älterer Versionen sind anfällig für Angriffe. Die neueste Version, Chrome 74, enthält 39 Sicherheitspatches die geschlossen wurden.