Google veröffentlicht den achten Zero-Day-Patch von 2023 für Chrome

Google hat ein dringendes Update herausgegeben, um eine kürzlich entdeckte Sicherheitslücke in Chrome zu beheben, die aktiv ausgenutzt wird. Dies markiert die achte Zero-Day-Sicherheitslücke, die im Jahr 2023 für den Browser identifiziert wurde.

Erkannt als CVE-2023-7024Laut Google handelt es sich bei der Sicherheitslücke um einen erheblichen Heap-Pufferüberlauf-Fehler im WebRTC-Modul von Chrome, der Remote Code Execution (RCE) ermöglicht.

WebRTC ist eine Open-Source-Initiative, die Echtzeitkommunikation über APIs ermöglicht und bei den führenden Browserherstellern breite Unterstützung genießt.

Wie CVE-2023-7024 Chrome-Benutzer bedroht

Lionel Litty, Chef-Sicherheitsarchitekt bei Menlo Security, erklärt, dass das Risiko einer Ausnutzung in der Fähigkeit besteht, RCE im Renderer-Prozess zu erreichen. Dies bedeutet, dass ein Angreifer beliebigen Binärcode auf dem Computer des Benutzers außerhalb der JavaScript-Sandbox ausführen kann.

Wirklicher Schaden entsteht jedoch, wenn der Fehler als erster Schritt in einer Exploit-Kette genutzt wird; Es muss mit einer Sandbox-Escape-Schwachstelle in Chrome selbst oder im Betriebssystem kombiniert werden, um wirklich gefährlich zu sein.

„Aufgrund der Multiprozess-Architektur von Chrome befindet sich dieser Code jedoch immer noch in einer Sandbox“, sagt Litty, „so dass ein Angreifer allein aufgrund dieser Schwachstelle nicht auf die Dateien des Benutzers zugreifen oder mit der Bereitstellung von Malware beginnen kann und seinen Zugriff auf den Computer verliert, wenn der betroffene Tab gelöscht wird.“ geschlossen."

Er weist darauf hin, dass die Site-Isolation-Funktion von Chrome im Allgemeinen Daten von anderen Websites schützt, sodass ein Angreifer nicht auf die Bankdaten des Opfers abzielen kann, fügt jedoch hinzu, dass es hier einige subtile Einschränkungen gibt.

Dies würde beispielsweise einen Zielursprung dem böswilligen Ursprung aussetzen, wenn dieser dieselbe Website verwendet: Mit anderen Worten: Eine hypothetische böswillige Datei.shared.com kann Opfer.shared.com als Ziel haben.

„Während der Zugriff auf das Mikrofon oder die Kamera die Zustimmung des Benutzers erfordert, ist dies für den Zugriff auf WebRTC selbst nicht erforderlich“, erklärt Litty. „Es ist möglich, dass diese Schwachstelle von jeder Website angegriffen werden kann, ohne dass über den Besuch der bösartigen Seite hinaus eine Eingabe des Benutzers erforderlich ist. Aus dieser Perspektive ist die Bedrohung also erheblich.“

Aubrey Perin, leitender Threat-Intelligence-Analyst bei der Qualys Threat Research Unit, stellt fest, dass die Reichweite des Fehlers über Google Chrome hinausgeht.

„Die Nutzung von Chrome hängt mit seiner Allgegenwärtigkeit zusammen – sogar Microsoft Edge verwendet Chromium“, sagt er. „Die Ausnutzung von Chrome könnte also potenziell auch Edge-Benutzer ins Visier nehmen und böswilligen Akteuren eine größere Reichweite ermöglichen.“

Und es sollte beachtet werden, dass Android-Mobilgeräte, die Chrome verwenden, ein eigenes Risikoprofil haben; In einigen Szenarien werden mehrere Sites in denselben Renderer-Prozess eingebunden, insbesondere auf Geräten, die nicht über viel RAM verfügen.

Browser bleiben ein Top-Ziel für Cyberangriffe

Große Browser-Anbieter haben in letzter Zeit eine wachsende Zahl von Zero-Day-Bugs gemeldet – allein Google berichtete fünf seit August.

Apple, Microsoft und Firefox gehören zu den anderen, die a veröffentlicht haben Reihe kritischer Schwachstellen in ihren Browsern, darunter auch einige Zero-Days.

Joseph Carson, leitender Sicherheitswissenschaftler und beratender CISO bei Delinea, sagt, es sei keine Überraschung, dass staatlich geförderte Hacker und Cyberkriminelle die beliebte Software ins Visier nehmen und ständig nach Schwachstellen suchen, die sie ausnutzen können.

„Dies führt aufgrund der weit verbreiteten Nutzung der Software, mehrerer Plattformen und hochwertiger Ziele typischerweise zu einer größeren Angriffsfläche und öffnet in der Regel Tür und Tor für Angriffe auf die Lieferkette“, sagt er.

Er weist darauf hin, dass diese Art von Schwachstellen für viele Benutzer auch Zeit in Anspruch nehmen, um anfällige Systeme zu aktualisieren und zu patchen.

„Daher werden Angreifer diese anfälligen Systeme wahrscheinlich noch viele Monate lang im Visier haben“, sagt Carson.

Er fügt hinzu: „Da diese Schwachstelle aktiv ausgenutzt wird, bedeutet dies wahrscheinlich, dass die Systeme vieler Benutzer bereits kompromittiert wurden und es wichtig wäre, die angegriffenen Geräte zu identifizieren und diese Systeme schnell zu patchen.“

Daher, so Carson, sollten Unternehmen sensible Systeme mit dieser Schwachstelle untersuchen, um etwaige Risiken oder potenzielle wesentliche Auswirkungen zu ermitteln.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome