Die Google-Entwickler haben am Freitag eine dringende Korrektur für Chrome 108.0.5359.94 veröffentlicht. Das Update behebt eine neuartige Zero-Day-Schwachstelle (nachverfolgt unter CVE-2022-4262).
Die Schwachstelle betrifft Berichten zufolge alle Versionen des Browsers, und laut Mike Walters, VP für Schwachstellen- und Bedrohungsforschung bei Action1, war die Behebung dringend, da es bereits einen funktionierenden Exploit für diese Schwachstelle gibt.
„Diese Korrektur behebt die neunte Zero-Day-Schwachstelle im Browser in diesem Jahr. Außerdem setzt sich damit das merkwürdige Muster fort, dass Google eine Zero-Day-Schwachstelle kurz nach einer regulären Veröffentlichung behebt“, so Walters gegenüber Infosecurity.
Wie bei Google üblich, wurden Einzelheiten zu der Sicherheitslücke und dem Exploit noch nicht veröffentlicht.
„Google wird keine Details über die Sicherheitslücke bekannt geben, bis die Browser der meisten Nutzer aktualisiert sind, und das ist auch richtig so“, sagte Walters. „Der Schweregrad dieser Sicherheitslücke kann kaum überschätzt werden. Deshalb empfehlen wir, dass Sie Ihren Chrome-Browser so bald wie möglich aktualisieren.“
Zwar sind die Details der Schwachstelle nicht öffentlich bekannt, aber es ist bekannt, dass sie mit Typverwechslungsfehlern in der V8 JavaScript Engine zusammenhängt.
„Dementsprechend ist es sehr wahrscheinlich, dass diese Schwachstelle Remotecodeausführung ermöglicht, was bedeutet, dass ein Bedrohungsakteur ein beliebiges Skript oder eine Malware-Nutzlast auf dem Gerät des Opfers ausführen lassen kann“, erklärte Walters.
„In den meisten Fällen nutzen Angreifer solche Schwachstellen aus, wenn Benutzer ihre bösartige Website besuchen. Dann stehlen sie Daten von den betroffenen Geräten oder erstellen Botnets, um verteilte Denial-of-Service-Angriffe (DDoS) durchzuführen, Kryptowährung zu schürfen oder Spam zu versenden.“
Gleichzeitig kann das Patchen von Browsern problematisch sein, sagte Walters, da die Leute ihren Browser nicht gerne neu starten, was normalerweise im Rahmen eines Updates erforderlich ist.
„Aus diesem Grund ist es für Unternehmen am besten, das Patchen von Drittanbieteranwendungen, einschließlich Browsern, zu automatisieren und sicherzustellen, dass ihre IT-Teams Reboots aus der Ferne erzwingen können, und zwar auf eine Art und Weise, die für die Endbenutzer angenehm ist“, so Walters abschließend.
Der Patch kommt weniger als zwei Wochen nach Googles letztem Chrome-Patch für eine Zero-Day-Lücke (CVE-2022-4135), die der Tech-Riese am 24. November behoben hat.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Hersteller kämpfen mit der Bewältigung von Cyber-Bedrohungen durch den Einsatz neuer Technologien