"Zero Day"-Lücken sind das, wovon Kriminelle und Geheimdienste gleichermaßen träumen. Wer einen sicherheitsrelevanten Fehler vor dem Hersteller entdeckt, der kann damit allerlei Unfug anstellen. Entsprechend gut werden solche Bugs auf dem Schwarzmarkt gehandelt, während große Softwarehersteller viel daran setzen, den Angreifern zuvor zukommen – und finanzielle Anreize zu bieten, um Sicherheitsforscher davon abzuhalten, sich an zwielichtige Firmen zu wenden.

So hat etwa auch Google zahlreiche Bug Bounties ausgeschrieben, in deren Rahmen hohe Preise für das Aufspüren von Sicherheitslücken ausgeschrieben werden, wodurch Zero Days in Chrome etwa relativ selten geworden sind. Nun erwischt es den Softwarehersteller trotzdem.

Update

Mit Chrome 88.0.4324.150 hat Google vor wenigen Tagen ein Update für seinen Browser veröffentlicht, bei dem man den Nutzern zu einem raschen Update rät. Wird darin doch eben eine Lücke geschlossen, die offenbar bereits für Angriffe ausgenutzt wurde. Konkret geht es dabei um einen Pufferüberlauf in der Javascript Engine V8.

Weitere Details will Google derzeit noch nicht nennen, diese sollen erst folgen, wenn ein großer Teil der Nutzer auf die neue Version aktualisiert hat. Da die Updates bei Chrome automatisch eingespielt werden, sollte dies aber recht bald der Fall sein.

Vorgeschichte

Denkbar wäre jedenfalls ein Zusammenhang mit einem früheren Bericht von Google-Sicherheitsforschern: Vor rund zwei Wochen hatten diese eine Angriffskampagne aufgedeckt, in deren Rahmen über speziell präparierte Webseiten gezielt Sicherheitsforscher angegriffen wurden – und zwar angeblich von einem staatlichen Akteur, im konkreten Fall Nordkorea. Dies hatte nicht nur schnell für Aufregung in der Branche gesorgt, Microsoft spekulierte damals schon, dass eine Chrome Zero-Day-Lücke der Angriffsvektor gewesen sein hätte können. Eine offizielle Bestätigung für diese Theorie gibt es bislang aber noch nicht. (apo, 7.2.2021)