Google hat am Freitag ein Out-of-Band-Sicherheitsupdate veröffentlicht, um eine schwerwiegende Sicherheitslücke in seinem Chrome-Browser zu schließen, die nach eigenen Angaben aktiv ausgenutzt wird.
Die Zero-Day-Schwachstelle mit der Bezeichnung CVE-2022-1096 bezieht sich auf eine Typverwechslungsschwachstelle in der V8 JavaScript-Engine. Ein anonymer Forscher meldete den Fehler am 23. März 2022.
Typverwechslungsfehler, die auftreten, wenn auf eine Ressource (z. B. eine Variable oder ein Objekt) mit einem Typ zugegriffen wird, der nicht mit dem ursprünglich initialisierten Typ kompatibel ist, können in nicht speichersicheren Sprachen wie C und C++ schwerwiegende Folgen haben und es einem böswilligen Akteur ermöglichen, einen Out-of-Bounds-Speicherzugriff durchzuführen.
„Wenn auf einen Speicherpuffer mit dem falschen Typ zugegriffen wird, könnte er Speicher außerhalb der Grenzen des Puffers lesen oder schreiben, wenn der zugewiesene Puffer kleiner ist als der Typ, auf den der Code zuzugreifen versucht, was zu einem Absturz und möglicherweise zur Codeausführung führt“, erklärt MITREs Common Weakness Enumeration (CWE).
Der Tech-Gigant bestätigte, dass er „weiß, dass ein Exploit für CVE-2022-1096 in freier Wildbahn existiert“, gab aber keine weiteren Einzelheiten bekannt, um eine weitere Ausnutzung der Schwachstelle zu verhindern und bis die Mehrheit der Nutzer ein Update erhalten hat.
CVE-2022-1096 ist die zweite Zero-Day-Schwachstelle, die Google seit Anfang des Jahres in Chrome behoben hat. Die erste war CVE-2022-0609, eine Use-after-free-Schwachstelle in der Komponente Animation, die am 14. Februar 2022 gepatcht wurde.
Anfang dieser Woche enthüllte die Threat Analysis Group (TAG) von Google Details über eine Doppelkampagne nordkoreanischer staatlicher Gruppen, die die Schwachstelle ausnutzten, um US-Organisationen in den Bereichen Nachrichtenmedien, IT, Kryptowährungen und Finanztechnologie anzugreifen.
Google Chrome-Nutzern wird dringend empfohlen, auf die neueste Version 99.0.4844.84 für Windows, Mac und Linux zu aktualisieren, um mögliche Bedrohungen zu entschärfen. Nutzern von Chromium-basierten Browsern wie Microsoft Edge, Opera und Vivaldi wird ebenfalls empfohlen, die Korrekturen zu installieren, sobald sie verfügbar sind.