An sich hat Google einen sehr guten "Track Record", wenn es um die Sicherheits seines Chrome-Browsers geht. Aktiv ausgenutzte Lücken ohne Update gab es in den vergangenen Jahren kaum, und wenn dann reagiert das Unternehmen üblicherweise sehr flott. Um so bemerkenswerter ist nun eine neue Warnung des Unternehmens.



Update

In einem Blogeintrag kündigt das Unternehmen ein aktuelles Sicherheitsupdate für seinen Browser an. Mit der Version 78.0.3904.87 werden zwei schwere Lücken in der Software ausgeräumt. Das besondere dabei: Eine davon wurde offenbar bereits aktiv ausgenutzt, um Chrome-User anzugreifen.

Konkret geht es dabei um einen "Use-After-Free"-Bug in der Audiokomponente des Browsers. Dabei handelt es sich um eine recht häufige Fehlerklasse, die an sich in aktuellen Browsern auch schwer aktiv – und zuverlässig – auszunutzen ist. In diesem Fall soll aber bereits ein funktionierender Exploit kursieren. Aufgespürt hatten ihn Sicherheitsforscher von Kaspersky, die den Fehler dann am 29. Oktober an Google gemeldet. Ein passendes Update war dann bereits zwei Tage später fertig.

Details

In einem eigenen Blogposting liefert Kasperky weitere Details. Demnach soll der Exploit in einer Angriffswelle genutzt worden sein, die man als "Operation WizardOpium" bezeichnet. Über eine südkoreanische Nachrichtenseite soll dabei Schadcode verbreitet worden sein, der genutzt wurde, um Windows-Rechner zu infizieren.

Den Anlass nutzt Google auch gleich um einen Fehler in der eigenen PDF-Bibliothek PDFium auszuräumen. In diesem Fall wurde der Bug Mitte Oktober gemeldet, Berichte über eine aktive Ausnutzung gibt es aber nicht. Für den Entdecker der Lücke gibt es im Rahmen von Googles Bug Bounty-Programm eine Belohnung in der Höhe von 7.500 US-Dollar. Beide Fehler wurden von Google mit der Warnstufe "hoch" versehen.

Update

Die neue Version wird seit wenigen Tagen automatisch an sämtliche Chrome-Nutzer ausgeliefert. Insofern sollten die meisten User bereits geschützt sein. Wer seitdem keinen Neustart des Browsers mehr vorgenommen hat, sollte dies aber bald nachholen, damit die Fehlerbereinigung auch schlagend wird. (apo, 4.11.2019)