Chrome Browser warnt vor NSA-Windows-LĂĽcke
Googles Chrome ist in einer abgesicherten Version erschienen. Unter anderem wurde eine kritische SicherheitslĂĽcke geschlossen.
Angreifer könnten Googles Webbrowser Chrome mit Schadcode attackieren und sich so unter Umständen dauerhaft auf Computern einnisten. Verantwortlich dafür sind mehrere Sicherheitslücken, die die Entwickler nun in der Version 79.0.3945.130 für Linux, macOS und Windows geschlossen haben.
Eine Schwachstelle (CVE-20206478) ist mit dem Bedrohungsgrad "kritisch" eingestuft. Durch ein erfolgreiches Ausnutzen könnte ein Angreifer einen Speicherfehler (use-after-free) auslösen und so Schadcode ausführen. Wie ein konkretes Angriffsszenario aussehen könnte, führt Google in einem Beitrag zur aktuellen Chrome-Version nicht aus.
FĂĽr die drei weiteren Schwachstellen hat Google das Angriffsrisiko "hoch" vergeben. Darunter befindet sich auch die Windows-LĂĽcke, die die National Security Agency (NSA) an Microsoft gemeldet hat. Microsoft hat die SicherheitslĂĽcke am Patchday geschlossen.
Setzen Angreifer an dieser Schwachstelle in der Windows-Krypto-Bibliothek Crypt32.dll an, könnten sie beispielsweise Zertifikate fälschen und so betrügerische Websites gegenüber Webbrowsern als legitime und vertrauenswürdige Seite aussehen lassen.
Chrome kann helfen
Da mittlerweile mehrere Exploits zum Ausnutzen der LĂĽcke erschienen sind, sollten Windows-Nutzer die Sicherheitspatches zĂĽgig ĂĽber Windows Update installieren. In der Regel geschieht dies automatisch. Von der Schwachstelle sind Microsoft zufolge ausschlieĂźlich Windows 10 und Windows Server 2016/2019 betroffen.
Auf ungepatchten Systemen kann nun Chrome dazwischen grätschen: Einem Entwickler des Browsers zufolge haben sie einen erweiterten Integritätscheck von Zertifikaten eingebaut, der in diesem Kontext präparierte TLS-Zertifikate erkennt. Will man nun mit einem ungepatchten Windows-System eine mit einem präparierten Zertifikat ausgestattete Seite besuchen, zeigt der Browser eine Warnung an und blockt den Besuch. (des)