Chrome-Browser
22.04.2020, 12:00 Uhr
Google gibt kritische Sicherheitswarnung für Chrome-Nutzer heraus
Der US-Konzern warnt vor einer kritischen Chrome-Sicherheitslücke unter Windows, Mac und Linux. Ein Bugfix ist unterwegs.
Google warnt vor einer kritischen Sicherheitslücke in seinem Chrome-Browser
(Quelle: geralt/Pixabay)
Ohne viel Aufhebens darum zu machen, hat Google eine Warnung herausgegeben, dass der Chrome-Browser eine kritische Sicherheitslücke in Windows, Mac und Linux aufweist. Der US-Konzern fordert die Nutzer in diesem Chrome-Release (Englisch) auf, ein Update auf die neuste Version des Browsers (81.0.4044.113) durchzuführen. Aufgegriffen haben dies die Sophos-Sicherheitsspezialisten, wie «Forbes» berichtet (Englisch).
Details zum Fehler hält Google offenbar geheim. Im Blog-Eintrag verrät Google nur den Exploit-Code-Namen (CVE-2020-6457). Die Beschreibung ist sehr offen formuliert: «Use after free in speech recognizer».
Der Originaltext in Englisch:
«(...) Security Fixes and Rewards
Note: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.
This update includes 1 security fix. Please see the Chrome Security Page for more information.
Note: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.
This update includes 1 security fix. Please see the Chrome Security Page for more information.
[$TBD][1067851] Critical CVE-2020-6457: Use after free in speech recognizer.
Reported by Leecraso and Guang Gong of Alpha Lab, Qihoo 360 on 2020-04-04 (...)»
Etwas Licht ins Dunkel bringt Sophos im Blog-Eintrag (Englisch): «In einigen Fällen können es Use-after-free-Fehler einem Angreifer ermöglichen, den Kontrollfluss innerhalb Ihres Programms zu ändern, einschliesslich der Umleitung der CPU zur Ausführung von nicht vertrauenswürdigem Code, den der Angreifer gerade von aussen in den Speicher gestossen hat, wodurch die üblichen Sicherheitsprüfungen des Browsers oder «Sind Sie sicher»-Dialoge umgangen werden.
Das ist die schwerwiegendste Art der Ausnutzung, im Fachjargon als RCE bekannt, kurz für Remote-Codeausführung. Das bedeutet: Dass ein Angreifer ohne Vorwarnung aus der Ferne Code auf Ihrem Computer ausführen kann, selbst wenn er sich auf der anderen Seite der Welt befindet.»
Das Update wird in den kommenden Tagen oder Wochen weltweit ausgerollt. So gelangen Sie zum Update: Oben rechts im Chrome-Browser tippen Sie auf das Drei-Punkte-Symbol und wählen Hilfe sowie Über Google Chrome. Dann wird ein verfügbares Update automatisch ausgeführt.
Das ist die schwerwiegendste Art der Ausnutzung, im Fachjargon als RCE bekannt, kurz für Remote-Codeausführung. Das bedeutet: Dass ein Angreifer ohne Vorwarnung aus der Ferne Code auf Ihrem Computer ausführen kann, selbst wenn er sich auf der anderen Seite der Welt befindet.»
Das Update wird in den kommenden Tagen oder Wochen weltweit ausgerollt. So gelangen Sie zum Update: Oben rechts im Chrome-Browser tippen Sie auf das Drei-Punkte-Symbol und wählen Hilfe sowie Über Google Chrome. Dann wird ein verfügbares Update automatisch ausgeführt.
22.04.2020