Google hat am Dienstag Updates veröffentlicht, um vier Sicherheitsprobleme in seinem Chrome-Browser zu beheben, darunter eine aktiv ausgenutzte Zero-Day-Schwachstelle.
Das Problem, das als ${match} verfolgt wird, betrifft einen Zugriff auf den Speicher außerhalb des zulässigen Bereichs im JavaScript- und WebAssembly-Engine V8, der von Angreifern genutzt werden kann, um einen Absturz auszulösen.
„Durch das Lesen von Speicher außerhalb des zulässigen Bereichs könnte ein Angreifer geheime Werte wie Speicheradressen erhalten, die Schutzmechanismen wie ASLR umgehen können, um die Zuverlässigkeit und Wahrscheinlichkeit der Ausnutzung einer anderen Schwachstelle zur Codeausführung anstelle eines einfachen Denial of Service zu verbessern“, so die Common Weakness Enumeration (CWE) des MITRE-Instituts.
Weitere Details über die Art der Angriffe und die möglichen Angreifer, die sie ausnutzen könnten, wurden zurückgehalten, um eine weitere Ausnutzung zu verhindern. Das Problem wurde anonym am 11. Januar 2024 gemeldet.
„Ein Zugriff auf den Speicher außerhalb des zulässigen Bereichs in V8 in Google Chrome vor 120.0.6099.224 ermöglichte einem entfernten Angreifer möglicherweise die Ausnutzung einer Heap-Korruption über eine präparierte HTML-Seite“, heißt es in einer Beschreibung der Schwachstelle in der National Vulnerability Database (NVD) des NIST.
Die Entwicklung markiert die erste aktiv ausgenutzte Zero-Day-Schwachstelle, die von Google in Chrome im Jahr 2024 behoben wurde. Im vergangenen Jahr hat das Technologieunternehmen insgesamt 8 solche aktiv ausgenutzten Zero-Days im Browser behoben.
Benutzern wird empfohlen, auf die Chrome-Versionen 120.0.6099.224/225 für Windows, 120.0.6099.234 für macOS und 120.0.6099.224 für Linux zu aktualisieren, um potenzielle Bedrohungen zu reduzieren.
Benutzer von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi werden ebenfalls empfohlen, die Fixes anzuwenden, sobald sie verfügbar sind.
