Ein von Hackern aktiv ausgenutzter Exploit für die neue Zero-Day-Schwachstelle in Google Chrome ist bereits in freier Wildbahn unterwegs.
Google hat für Chrome ein Notfall-Update veröffentlicht, das eine Zero-Day-Schwachstelle in dem beliebten Webbrowser schließt. Dank eines verfügbaren Exploits haben Angreifer die Lücke in diesem Jahr bereits aktiv ausgenutzt. Da weitere Angriffe zu erwarten sind, sollten Benutzer ihren Browser dringend aktualisieren.
Sicherheitslücke öffnet Hackern durch Heap-Pufferüberlauf die Tür
Ein kürzlich veröffentlichtes Notfall-Update für die Desktop-Version von Google Chrome schließt eine Zero-Day-Schwachstelle in dem beliebten Webbrowser. Die unter der Kennung CVE-2022-4135 registrierte Sicherheitslücke erlaubt es Angreifern, einen Heap-Pufferüberlauf in der GPU zu provozieren.
Dadurch erhalten Hacker Schreibzugriff auf Speicherbereiche, die ihnen normalerweise verwehrt bleiben. Dort können sie dann schadhaften Code einschleusen, indem Sie den Speicher einer anderen Anwendung überschreiben und ihren Ausführungspfad manipulieren.
Wer die Zero-Day-Lücke im Chrome-Browser richtig einzusetzen weiß, kann sich darüber schlussendlich höhere Rechte verschaffen und beliebigen Code auf dem Zielsystem ausführen.
Ein Notfall-Update für Google Chrome steht bereit
Der Entdecker dieser Schwachstelle ist Clement Lecigne von Googles Threat Analysis Group. Er entdeckte die bereits aktiv von Angreifern ausgenutzte Lücke am 22. November 2022.
Google nutzt die Gelegenheit, um in seinem Bericht zu dem Chrome-Update allen Sicherheitsforschern zu danken, „die während des Entwicklungszyklus mit uns zusammengearbeitet haben, um zu verhindern, dass Sicherheitslücken jemals den stabilen Kanal erreichen.“ Der Konzern warnt aber auch davor, „dass ein Exploit für CVE-2022-4135 in freier Wildbahn existiert.„
Mit weiteren Details zu dem mit dem neuesten Chrome-Update behobenen Fehler hält sich Google vorerst zurück, bis „die Mehrheit der Benutzer“ die Aktualisierung erhalten hat. Damit verhindert der Konzern, dass noch mehr Angreifer die Sicherheitslücke ausnutzen und die zahlreichen Anwender des Browsers in Gefahr bringen.
Behoben ist die Schwachstelle ab Version 107.0.5304.121 für Mac und Linux sowie 107.0.5304.121/.122 für Windows-Systeme. Wer das Update manuell anstoßen oder prüfen möchte, ob er bereits geschützt ist, sollte einen Blick in die Einstellungen des Browsers werfen und links im Menü „Über Google Chrome“ aufrufen.
Schon der achte Zero-Day-Fix für Chrome in diesem Jahr
Laut BleepingComputer war dies im Jahr 2022 bereits der achte Zero-Day-Fix für Google Chrome. Das zeigt einmal mehr, dass bei Anwendern beliebte Browser auch umso interessanter für Angreifer sind.
Die vorherigen sieben Zero-Day-Schwachstellen waren:
CVE-2022-3723 – 28. Oktober
BleepingComputer
CVE-2022-3075 – 2. September
CVE-2022-2856 – 17. August
CVE-2022-2294 – 4. Juli
CVE-2022-1364 – 14. April
CVE-2022-1096 – 25. März
CVE-2022-0609 – 14. Februar
Grundsätzlich ist allen Chrome-Nutzern geraten, ihren Browser möglichst zeitnah zu aktualisieren. Denn eine Welle weiterer Angriffsversuche ist insbesondere nach der Berichterstattung zu dieser Lücke nur noch eine Frage der Zeit.
Wer Google Chrome aktiv nutzt und seinem Browser zur Abwechslung mal Beine machen möchte, sollte außerdem einen Blick auf diesen Artikel werfen.