Auf den Zero Day folgt der nächste Zero Day – und dann noch einer. Mit einem aktuellen Update schließt Google zwei zuvor unbekannte Sicherheitslücken in seinem Browser, die bereit aktiv für Angriffe ausgenutzt wurden – sogenannte Zero Days. Zusammen hätten diese verwendet werden können, um Code im Browser auszuführen und in Folge die Sandbox von Chrome auszuhebeln, um sich auf dem darunter liegenden System auszubreiten.

Vorgeschichte

Bereits in der Vorwoche hatte Google eine Zero-Day-Lücke in seinem Browser bereinigt, die in Kombination mit einer – weiterhin offenen – Lücke in Windows für Einbrüche auf Systeme mit Microsofts Betriebssystem genutzt wurden. Die zwei neuen Bugs dürften ebenfalls im Tandem zum Einsatz gekommen ein. Theoretisch wäre sogar denkbar, dass in weiterer Folge auch noch die erwähnte Windows-Lücke genutzt wurde, um eine vollständige Exploit Chain vom Einbruch auf das System bis zur fixen Verankerung auf diesem zu haben.

Entdeckt wurden die zwei neuen Fehler einmal mehr von Googles eigenem Project Zero. Dabei handelt es sich um ein Team an Sicherheitsforschern, die extra dafür abgestellt sind, Lücken in beliebter Software ausfindig zu machen – und zwar unabhängig vom Hersteller. Anschließend werden die betroffenen Firmen informiert, und bekommen üblicherweise 90 Tage Zeit, ein Update zu liefern, sonst werden die Details automatisch öffentlich gemacht. Dies soll garantieren, dass die Anbieter nicht ewig zuwarten, bis sie dringliche Lücken ausräumen.

Ausnahmen

Bei Zero-Day-Lücken ist diese Phase aber mit sieben Tagen erheblich geringer, da hier das öffentliche Interesse, über aktive Angriffe informiert zu werden, überwiege, argumentieren die Forscher. Das gibt den Entwicklern natürlich wenig Zeit zu reagieren. In diesem Fall scheint das Chrome-Team aber schnell reagiert zu haben. Überhaupt gehören Browserentwickler üblicherweise zu jenen, die in dieser Hinsicht besonders flott reagieren, während Betriebssystemaktualisierung oft länger auf sich warten lassen.

Updates

Die zwei Lücken betreffen sowohl die Desktop- als auch die Android-Ausgaben des Browsers. Bei der einen handelt es sich um einen Fehler in der Javascript-Engine V8, das zweite ist ein klassischer Pufferüberlauf. Das Update für die Desktop-Version sollte bereits automatisch auf den damit ausgestatteten Systemen installiert worden sein, die neue Android-Version (86.0.4240.185) gibt es in den kommenden Tagen über den Play Store. (apo, 4.11.2020)