Der neue Zero-Day von Chrome wird angegriffen – was tun?

BEACHTUNG! Wenn Sie den Google Chrome-Browser auf Ihrem Desktop oder Laptop (Windows, Mac oder Linux) verwenden, müssen Sie Ihren Browser möglicherweise sofort auf die neueste Softwareversion aktualisieren.

Warum die Dringlichkeit?

Zur Information aller hat Google heute die Chrome-Version 86.0.4240.111 veröffentlicht. Versionsaktualisierungen dienen hauptsächlich der Verbesserung der Sicherheit und anderer Funktionen, und dies ist nicht anders.

Leider gibt es eine Zero-Day-Sicherheitsanfälligkeit in Chrome, die Angreifer ausgenutzt haben, um Zielcomputer zu entführen. Mit dieser neuesten Chrome-Version soll dieses Sicherheitsproblem auf hoher Ebene behoben werden.

Lesen Sie: Pixel 5-Geräte zeigen einige schwerwiegende Probleme – eine Lücke vom Display zum Frame

Angriff von hoher Schwere

Chrome Zero-Day-Angriffe sind von hoher SchwereChrome Zero-Day-Angriffe sind von hoher Schwere

Der FreeType-Fehler, der als CVE-2020-15999 aufgeführt ist, ist eine Art Speicherbeschädigungsfehler, bei dem es sich um eine Open-Source-Softwareentwicklungsbibliothek handelt, die beim Rendern von mit Chrome gepackten Schriftarten beliebt ist. Der Fehler wurde stark ausgenutzt und vor allem als „hoch“ eingestuft.

Die Sicherheitslücke wurde am 19. Oktober von Googles Project Zero-Sicherheitsforscher Sergei Glazunov entdeckt. Er meldete dies dann sofort den FreeType-Entwicklern.

Glücklicherweise veröffentlichten die FreeType-Entwickler am 20. Oktober, einen Tag nachdem das Problem gemeldet worden war, FreeType 2.10.4 – einen Notfall-Patch, um das Problem zu beheben.

Ben Hawkes, technischer Leiter von Project Zero bei Google, warnte auf Twitter, dass das Team zwar nur einen Exploit für Chrome-Nutzer entdeckt habe, es aber auch möglich sei, dass andere Projekte, die FreeType verwenden, ebenfalls für den Angriff anfällig sind. Google hat FreeType-Entwickler gebeten, auch andere Projekte in ihren Fix aufzunehmen.

Noch keine Details darüber, wer diesen Fehler aktiv ausnutzt. Es wird jedoch erwartet, dass Google am 26. Oktober technische Details veröffentlicht.

„Während wir nur einen Exploit für Chrome gesehen haben, sollten andere Benutzer von Freetype das hier beschriebene Update übernehmen: https://savannah.nongnu.org/bugs/?59308 – das Update ist auch in der heutigen stabilen Version von FreeType 2.10.4 enthalten. Hawkes twitterte.

Laut Glazunov besteht die Sicherheitsanfälligkeit in der FreeType-Funktion „Load_SBit_Png“, die in Schriftarten eingebettete PNG-Bilder verarbeitet. Angreifer können dies ausnutzen, um beliebigen Code mithilfe speziell gestalteter Schriftarten mit eingebetteten PNG-Bildern auszuführen.

„Das Problem ist, dass libpng die ursprünglichen 32-Bit-Werte verwendet, die in png_struct gespeichert sind. Wenn daher die ursprüngliche Breite und / oder Höhe größer als 65535 ist, kann der zugewiesene Puffer nicht in die Bitmap passen “, erklärte Glazunov.

Google riet den Nutzern, Chrome sofort zu aktualisieren

Der Technologieriese ist sich des aktiven Angriffs sehr bewusst. Als Reaktion auf den Angriff veröffentlichte Google außerdem Chrome 86.0.4240.111, eine stabile Version, die allen Nutzern zur Verfügung steht.

Neben der Zero-Day-Sicherheitsanfälligkeit von FreeType hat Google im neuesten Chrome-Update vier weitere Fehler behoben. Drei dieser vier Mängel werden als Schwachstellen mit hohem Risiko eingestuft. Erstens ein unangemessener Implementierungsfehler in Blink. Zweitens ein kostenloser Fehler in den Chrome-Medien. Der dritte ist ein kostenloser Fehler in PDFium.

Und das letzte ist eine Verwendung mit mittlerem Risiko nach einer kostenlosen Ausgabe in der Druckfunktion des Browsers.

Google riet den Nutzern, Chrome sofort zu aktualisierenGoogle riet den Nutzern, Chrome sofort zu aktualisieren

Benutzer von Chrome-Webbrowsern werden über die neueste verfügbare Version informiert. Wenn sie die Benachrichtigung jedoch nicht erhalten haben, können sie ihre Browser manuell auf die neueste Version aktualisieren.

Klicken Sie auf die drei Punkte in der oberen rechten Ecke des Browsers, wählen Sie “Hilfe” und klicken Sie auf “Über Google Chrome”. Eine neue Registerkarte wird geöffnet und das Update gestartet – sofern verfügbar. Danach wird Ihr Browser neu gestartet. und Sie werden dann auf die neueste Version aktualisiert.