Chrome: Bug im PDF-Modul reichte Schadcode ans System durch

Google, Browser, Logo, Chrome Bildquelle: Google
Der Suchmaschinenkonzern Google hat kürzlich einen Fehler in seinem Browser Chrome behoben, mit dem sich fremde Codes direkt zum Betriebssystem durchreichen ließen. Informationen über das extern entdeckte Problem wurden jetzt öffentlich gemacht.
In den Bugtracker-Datenbanken ist der Fehler unter der Kennung CVE-2016-1681 vermerkt. Betroffen war dabei Chromes integrierter PDF-Reader PDFium, der auch für die Darstellung verschiedener Bildformate genutzt wird. Gefunden wurde die Sicherheitslücke von dem für Cisco tätigen Security-Forscher Aleksandar Nikolic, der für seine Entdeckung eine Prämie von 3.000 Dollar aus Googles Bug Bounty-Programm erhielt. Die Chrome-Entwickler begannen bereits sechs Tage nach der Übermittlung erster Informationen damit, aktualisierte Versionen auszuliefern.

Der Fehler steckte in den Algorithmen, die das nicht sonderlich verbreitete Bildformat JPEG2000 verarbeiten. Speziell manipulierte Foto-Dateien, die in ein PDF eingebettet waren, konnten einen Buffer Overflow verursachen. Über diesen ließen sich dann Codes ins System einschleusen. Dieser konnte dann getrennt von Chrome ausgeführt werden, was es ermöglichte, den Rechner des Opfers mit dessen kompletten Rechten zu übernehmen.


Die Sicherheitslücke ist dabei nicht einmal von den Chrome-Entwicklern selbst verursacht worden. Sie hatten sie mit der Übernahme der OpenJPEG-Bibliotheken in den Browser geholt. Damit hätte der Bug durchaus auch in anderen Browsern auftauchen können - allerdings gibt es keine Hinweise darauf, dass dies der Fall ist. So scheint es, dass die spezielle Form des Einbettens der Bibliotheken in den Chrome-Code erst die Entwicklung eines Exploits ermöglichte.

Wer den Chrome auf seinem Rechner verwendet, sollte prüfen, ob der Browser in einer aktuellen Version vorliegt. Behoben ist das Problem ab der Fassung 51.0.2704.63. Grundsätzlich ließ sich der Bug auf allen Betriebssystem-Plattformen ausnutzen - allerdings musste der jeweilige Exploit natürlich auf Windows, OS X oder Linux ausgerichtet sein, um Wirkung entfalten zu können. Dass der Fehler in freier Wildbahn für Attacken missbraucht wurde, ist nach dem bisherigen Stand unwahrscheinlich - doch nun, da Informationen über den Fehler öffentlich geworden sind, kann es schnell zu entsprechenden Versuchen kommen.

Download
Chrome in de aktuellsten Version
Google, Browser, Logo, Chrome Google, Browser, Logo, Chrome Google
Diese Nachricht empfehlen
Kommentieren7
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Sony 43 Zoll Fernseher (Ultra HD, 2x Triple Tuner, Smart TV)
Sony 43 Zoll Fernseher (Ultra HD, 2x Triple Tuner, Smart TV)
Original Amazon-Preis
699,99
Im Preisvergleich ab
699,00
Blitzangebot-Preis
599,00
Ersparnis zu Amazon 14% oder 100,99

Tipp einsenden