Microsoft-Sicherheitsforscher entdecken kritische LĂĽcke - in ChromeOS
Google Betriebssystem ChromeOS ist verwundbar. Das mögliche Schlupfloch für Schadcode entdeckte aber die Konkurrenz.
Beispielsweise durch das alleinige Abspielen einer präparierten Audiodatei könnten entfernte Angreifer mit ziemlich hoher Wahrscheinlichkeit Schadcode auf Computern mit Googles ChromeOS ausführen. Darauf sind Sicherheitsforscher von Microsoft gestoßen. Das Betriebssystem ist bereits gegen so eine Attacke abgesichert.
Ursache des Sicherheitsproblems
In einem Beitrag gibt Microsoft an, die als „kritisch“ eingestufte Sicherheitslücke (CVE-2022-2022-2587) bei einer Untersuchung des Einsatzes der freien Programmbibliothek D-Bus zur Interprozesskommunikation des zugrundeliegenden Linux-Systems entdeckt zu haben. Dabei soll unter anderem die strcpy-Funktion zum Einsatz kommen.
Da diese Funktion keine ausreichenden Prüfungen bei der Speicherbelegung durchführt, können Angreifer darüber mit vergleichsweise wenig Aufwand Speicherfehler provozieren und so eigenen Code auf Systeme schieben und ausführen.
Die Forscher geben an, dass sie über die Kommandozeile mit einer 200-stelligen Zeichenfolge einen Speicherfehler ausgelöst haben. Ihnen zufolge sollte das mit etwas Aufwand auch über die Metadaten eines Songs möglich sein. So könnte das bloße Abspielen eines Musikstücks im Browser zur Ausführung von Schadcode führen.
Abgesichert
Microsoft gibt an, dass Google den Schwergrad der Schwachstelle direkt erkannt hat und sich zĂĽgig um das Problem gekĂĽmmert hat. ChromeOS soll seit der Version 102.0.5005.125 gegen solche Attacken gerĂĽstet sein.
Im Zuge von Googles Bug-Bounty-Programm hat ein Sicherheitsforscher von Microsoft eine Belohung in Höhe von 25.000 US-Dollar für das Auffinden und Melden der Lücke bekommen haben.
(des)