Sicherheits-Update für Google Chrome
Eine Format-String-Schwachstelle in der von Google benutzten Implementierung einer C-Funktion lässt sich von präparierten Webseiten ausnutzen, um Code einzuschleusen und zu starten.
- Daniel Bachfeld
Google hat seinen Webbrowser Chrome in Version 3.0.195.24 vorgelegt, um eine kritische Schwachstelle zu schließen. Eine Format-String-Schwachstelle in der von Google benutzten Implementierung der C-Funktion dtoa zur Umwandlung von Gleitkommazahlen in Zeichenketten lässt sich von präparierten Webseiten ausnutzen, um Code einzuschleusen und zu starten. Laut Google läuft der eingeschleuste Code aber nur in der Sandbox von Chrome – er hat also nur eingeschränkten Zugriff auf das System.
Von der im Juni diese Jahres entdeckten Lücke in dtoa waren auch OpenBSD 4.5, NetBSD 5.0 und FreeBSD 7.2/6.4 betroffen. Für diese Systeme gibt es seit längerem Updates.
Siehe dazu auch
- Stable Channel Update , Bericht von Google
- Multiple Vendors libc/gdtoa printf(3) Array Overrun, Bericht von Maksymilian Arciemowicz
(dab)