Sicherheits-Update für Google Chrome

Eine Format-String-Schwachstelle in der von Google benutzten Implementierung einer C-Funktion lässt sich von präparierten Webseiten ausnutzen, um Code einzuschleusen und zu starten.

49

02.10.2009, 09:49 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

Google hat seinen Webbrowser Chrome in Version 3.0.195.24 vorgelegt, um eine kritische Schwachstelle zu schließen. Eine Format-String-Schwachstelle in der von Google benutzten Implementierung der C-Funktion dtoa zur Umwandlung von Gleitkommazahlen in Zeichenketten lässt sich von präparierten Webseiten ausnutzen, um Code einzuschleusen und zu starten. Laut Google läuft der eingeschleuste Code aber nur in der Sandbox von Chrome – er hat also nur eingeschränkten Zugriff auf das System.

Von der im Juni diese Jahres entdeckten Lücke in dtoa waren auch OpenBSD 4.5, NetBSD 5.0 und FreeBSD 7.2/6.4 betroffen. Für diese Systeme gibt es seit längerem Updates.

Siehe dazu auch

Stable Channel Update , Bericht von Google
Multiple Vendors libc/gdtoa printf(3) Array Overrun, Bericht von Maksymilian Arciemowicz

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Sicherheits-Update für Google Chrome

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.