Google schließt Lücke in Chromes JavaScript-Engine
Durch eine Schwachstelle der Risikostufe "hoch" können Angreifer unter Umständen Schadcode auf dem System ausführen.
- Ronald Eikenberg
Google schließt mit dem Update auf Chrome 15.0.874.121 eine Sicherheitslücke der Risikostufe "hoch" in der JavaScript-Engine V8. Bei der Lücke handelt es sich um einen Speicherfehler, durch den ein Angreifer unter Umständen Code auf dem Rechner des Opfers ausführen kann, wie Secunia berichtet. Die Details hält Google wie gewohnt zunächst unter Verschluss, um die Sicherheit der Chrome-Nutzer nicht zu gefährden. Ein Ausbruch aus der Sandbox des Browsers ist durch die Lücke aber wohl nicht möglich, andernfalls hätte das Google die Lücke als kritisch eingestuft.
Gemeldet hat die Lücke der Sicherheitsforscher Christian Holler, den Google im Rahmen seines Bug-Bounty-Programms mit 1000 US-Dollar belohnt hat. Zudem wurde ein nicht sicherheitsrelevanter Fehler bei der Anzeige von SVG-Dateien behoben. Chrome aktualisierst sich über eine Auto-Update-Funktion in der Regel automatisch. Ob man bereits mit der aktuellen Version surft, erfährt man nach einem Klick auf das Schraubenschlüsselsymbol und einem weiteren auf "Über Google Chrome".
Siehe dazu auch:
- Google Chrome im heise Software-Verzeichnis
(rei)
