Googles Browser Chrome ist löchrig

Google hat das Sicherheits-Update 1.0.154.64 seines Browsers Chrome veröffentlicht, das zwei Sicherheitslücken schließen soll. Bei der ersten Lücke handelt es sich um einen Fehler bei der Verarbeitung von Bitmap-Daten aus dem Render-Prozess. Mit manipulierten Angaben zur Menge der Pixel soll sich Speicher überschreiben lassen. Angreifer könnten dies ausnutzen, um Code einzuschleusen und im Kontext des Anwenders zu starten. Da die Daten nach Angaben von Google aber dafür aus dem Render-Prozess selbst stammen müssen, müsste ein Angreifer diesen zuvor über eine weitere Lücke manipuliert haben. Dennoch stuft der Hersteller das Problem als kritisch ein.

Die zweite Lücke findet sich in der Google-eigenen Grafikbibliothek Skia 2D. Ein Fehler bei der Überprüfung einer Integer-Multiplikation soll sich für einen Integer Overflow ausnutzen lassen, um ein Browser-Tab zum Absturz zu bringen oder Code in der Chrome-Sandbox auszuführen. Dazu genügt der Besuch einer manipulierten Seite mit JavaScript und Canvas-Elementen. Google stuft das Risiko als hoch ein.

Skia wird neben Chrome auch noch im Betriebssystem für mobile Geräte Android verwendet. Ob die Lücke dort ebenfalls zum Tragen kommt, ist bislang unbekannt.

Zuletzt gab es vor rund 14 Tagen ein Update für Chrome, um mehrere kritische Lücken zu schließen. Die Updates für Chrome werden über die automatische Update-Funktion ohne weitere Nutzerinteraktion heruntergeladen und installiert. Sie sind nach einem Neustart wirksam. Einer aktuellen Studie zufolge ist die Aktualisierung des Browsers ohne Nachfrage beim Anwender die erfolgreichste Methode, um für eine hohe Verbreitung der jeweils neuesten Version zu sorgen – und damit für eine geringe Zahl verwundbarer Browser.

Siehe dazu auch:

• Stable Update: Security Fix, Bericht von Google
• Sicherheits-Update für Googles Chrome
• Studie: Stille Updates erhöhen Sicherheit

(dab)