Experten erläutern neue RCE-Sicherheitslücke, die den Google Chrome Dev Channel betrifft

Es sind Details über eine kürzlich gepatchte kritische Sicherheitslücke in der V8 JavaScript- und WebAssembly-Engine bekannt geworden, die in Google Chrome und Chromium-basierten Browsern verwendet wird.

Das Problem bezieht sich auf einen Fall von Use-after-free in der Befehlsoptimierungskomponente, dessen erfolgreiche Ausnutzung es einem Angreifer ermöglichen könnte, beliebigen Code im Kontext des Browsers auszuführen.

Die Sicherheitslücke, die in der Dev-Channel-Version von Chrome 101 identifiziert wurde, wurde Google von Weibo Wang, einem Sicherheitsforscher bei der Cybersecurity-Firma Numen Cyber Technology in Singapur, gemeldet und ist inzwischen vom Unternehmen in aller Stille behoben worden.

Use-after-free-Fehler treten auf, wenn auf zuvor freigegebenen Speicher zugegriffen wird, was zu einem undefinierten Verhalten führt und ein Programm zum Absturz bringt, beschädigte Daten verwendet oder sogar die Ausführung von beliebigem Code ermöglicht.

Noch besorgniserregender ist, dass die Sicherheitslücke über eine speziell entwickelte Webseite aus der Ferne ausgenutzt werden kann, um Sicherheitsbeschränkungen zu umgehen und beliebigen Code auszuführen, um die Zielsysteme zu gefährden.

Das Unternehmen hat die Sicherheitslücke noch nicht über das Chromium-Bug-Tracker-Portal bekannt gegeben, um möglichst vielen Nutzern die Möglichkeit zu geben, die gepatchte Version zuerst zu installieren. Außerdem vergibt Google keine CVE-IDs für Sicherheitslücken, die in nicht stabilen Chrome-Channels gefunden werden.

Chrome-Nutzer, insbesondere Entwickler, die die Dev-Edition von Chrome zum Testen verwenden, um sicherzustellen, dass ihre Anwendungen mit den neuesten Chrome-Funktionen und API-Änderungen kompatibel sind, sollten auf die neueste verfügbare Version der Software aktualisieren.

Dies ist nicht das erste Mal, dass Sicherheitslücken in Chrome entdeckt werden, die eine Nutzung nach der Freischaltung ermöglichen. Google hat im Jahr 2021 sieben solcher Fehler in dem Webbrowser behoben, die in realen Angriffen ausgenutzt wurden. In diesem Jahr wurde auch eine aktiv ausgenutzte Sicherheitslücke in der Komponente Animation behoben.