Microsoft findet auch mal einen schwerwiegenden Fehler bei Google

Microsoft kann sich endlich einmal bei Google für die zahlreichen Hinweise auf kritische Sicherheitslücken im Betriebssystem revanchieren. Die Redmonder fanden eine schwerwiegende Schwachstelle in ChromeOS, die Google nach einiger Zeit schließen konnte.
Google, Chrome, Google Chrome, Chrome OS, Google Chrome OS, chromeos, Chrome Browser, Chrome Logo, Chrome Web Store, Chrome für Android, Chromebox, Chrome Browser Fenster, Chrome Fenster
Der Patch wird bereits seit einigen Wochen durch den Suchmaschinenkonzern ausgespielt, trotzdem ließ man sich bei Microsoft die branchenüblichen drei Monate Zeit, um mit weitergehenden Detail-Informationen zu dem Fehler an die Öffentlichkeit zu gehen. Das ist auch die Frist, nach der Googles Project Zero-Team über Sicherheitslücken informiert - unabhängig davon übrigens, ob der jeweilige Hersteller in dieser Zeit einen Patch herausgegeben hat.

Das von Microsoft in ChromeOS gefundene Problem wurde unter der Kennung CVE-2022-2587 in die Security-Datenbanken aufgenommen. Und hier handelt es sich nicht um einen Flüchtigkeitsfehler, wie es bei den meisten Sicherheitsproblemen der Fall ist. Vielmehr konnte sich ein Programmierer im ChromeOS-Team wohl nicht von alten Angewohnheiten lösen.


Die, die man nicht verwendet

Denn in einem Dienst zur Weitergabe von Audiodaten an verschiedene USB-Geräte wurde ein String-Argument verarbeitet, indem die strcpy-Funktion aufgerufen wird. "Bei erfahrenen Sicherheitsingenieuren läuten bei der Erwähnung der strcpy-Funktion sofort die Alarmglocken", erklärte Jonathan Bar Or aus dem Microsoft 365 Defender-Team. "Die strcpy-Funktion ist dafür bekannt, dass sie verschiedene Schwachstellen im Speicher verursacht, da sie keine Prüfungen vornimmt und daher als unsicher gilt."

Aufgrund der fehlenden Prüfung in der Funktion seien sich die Microsoft-Entwickler sicher gewesen, dass sie einen String einschleusen können, der einen Puffer-Überlauf verursacht. Das bestätigte sich bei anschließenden Praxistests auch. Das führt letztlich dazu, dass Angreifer beispielsweise über die Metadaten einer Musikdatei Code auf das System schleusen können, der dann mit umfangreichen Rechten zur Ausführung gebracht wird und entsprechend viel Schaden anrichten kann.

Siehe auch:



Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!