Seit 2022 ungepatcht: Google leakt unabsichtlich Exploit für Chrome-Bug
Eine seit mehr als zwei Jahren bekannte Sicherheitslücke in der Chromium-Browserplattform sorgt für neue Besorgnis in der IT-Sicherheitsbranche. Betroffen sind neben Google Chrome auch Browser wie Microsoft Edge, Brave, Opera, Vivaldi und Arc.
Der Beispiel-Code tauchte kurzzeitig im öffentlichen Chromium-Fehlertracker auf. Er wurde später zwar entfernt, ist jedoch weiterhin über Archivseiten abrufbar. Entdeckt wurde die Schwachstelle ursprünglich bereits Ende 2022 von der unabhängigen Sicherheitsforscherin Lyra Rebane. Nach ihren Angaben lässt sich die Lücke vergleichsweise einfach ausnutzen.
Die Schwachstelle basiert demnach auf der Background-Fetch-Funktion des Browsers, die eigentlich für große Downloads im Hintergrund gedacht ist. Mithilfe manipulierter Webseiten können Angreifer darüber dauerhafte Verbindungen aufbauen, die selbst nach einem Neustart des Browsers, teilweise sogar des gesamten Geräts, bestehen bleiben.
Die Möglichkeiten der Angreifer bleiben zwar auf die Rechte des Browsers beschränkt. Dennoch könnten kompromittierte Systeme zum anonymen Surfen, zum Aufruf schädlicher Webseiten oder für DDoS-Attacken eingesetzt werden, hieß es. Sicherheitsexperten warnen zudem davor, dass sich aus vielen infizierten Geräten ein großes Netzwerk aufbauen ließe, das später mit weiteren Sicherheitslücken kombiniert werden kann.
Besonders schwer erkennbar sind die Angriffe offenbar im Edge-Browser, der auf der gleichen Code-Basis wie Googles Chrome basiert. Dort kann sich höchstens kurz ein Download-Menü öffnen, ohne dass tatsächlich Dateien erscheinen. Viele Nutzer dürften ein solches Verhalten eher als harmlosen Softwarefehler wahrnehmen.
Download Mozilla Firefox - Open Source-Webbrowser
Siehe auch:
Missbrauch auf niedriger Stufe
Die Schwachstelle erlaubt es Angreifern, Geräte von Nutzern unbemerkt für bestimmte Online-Aktivitäten zu missbrauchen, etwa als Proxy-Server oder für koordinierte DDoS-Angriffe. Noch immer steht für den Bug kein Patch zur Verfügung. Entsprechend pikant ist daher die Tatsache, dass ausgerechnet Google nun versehentlich einen funktionierenden Exploit veröffentlichte, mit dem das Problem missbraucht werden kann, wie Ars Technica berichtet.Der Beispiel-Code tauchte kurzzeitig im öffentlichen Chromium-Fehlertracker auf. Er wurde später zwar entfernt, ist jedoch weiterhin über Archivseiten abrufbar. Entdeckt wurde die Schwachstelle ursprünglich bereits Ende 2022 von der unabhängigen Sicherheitsforscherin Lyra Rebane. Nach ihren Angaben lässt sich die Lücke vergleichsweise einfach ausnutzen.
Die Schwachstelle basiert demnach auf der Background-Fetch-Funktion des Browsers, die eigentlich für große Downloads im Hintergrund gedacht ist. Mithilfe manipulierter Webseiten können Angreifer darüber dauerhafte Verbindungen aufbauen, die selbst nach einem Neustart des Browsers, teilweise sogar des gesamten Geräts, bestehen bleiben.
Die Möglichkeiten der Angreifer bleiben zwar auf die Rechte des Browsers beschränkt. Dennoch könnten kompromittierte Systeme zum anonymen Surfen, zum Aufruf schädlicher Webseiten oder für DDoS-Attacken eingesetzt werden, hieß es. Sicherheitsexperten warnen zudem davor, dass sich aus vielen infizierten Geräten ein großes Netzwerk aufbauen ließe, das später mit weiteren Sicherheitslücken kombiniert werden kann.
Kaum wahrnehmbar
Innerhalb Googles wurde die Schwachstelle laut internen Kommentaren als "ernst" eingestuft und mit der zweithöchsten Sicherheitsbewertung versehen. Trotzdem blieb sie über 29 Monate ohne Korrektur. Rebane vermutet, dass die Gefahr intern unterschätzt wurde, weil die Lücke keine direkten Zugriffe auf Dateien oder persönliche Daten ermöglicht.Besonders schwer erkennbar sind die Angriffe offenbar im Edge-Browser, der auf der gleichen Code-Basis wie Googles Chrome basiert. Dort kann sich höchstens kurz ein Download-Menü öffnen, ohne dass tatsächlich Dateien erscheinen. Viele Nutzer dürften ein solches Verhalten eher als harmlosen Softwarefehler wahrnehmen.
Download Mozilla Firefox - Open Source-Webbrowser
Zusammenfassung
- Sicherheitslücke in Chromium seit Ende 2022 bekannt, noch immer ohne Patch
- Google veröffentlichte versehentlich einen Exploit im öffentlichen Bugtracker
- Angreifer können dauerhafte Verbindungen aufbauen, die auch nach Neustart bleiben
- Kompromittierte Geräte könnten für DDoS-Attacken und anonymes Surfen missbraucht werden
- Google stufte die Lücke intern als ernst ein - trotzdem 29 Monate ungepatcht
- Im Edge-Browser bleiben Angriffe oft unbemerkt, da sie wie Softwarefehler erscheinen
Siehe auch:
Themen:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Nur für 3 Stunden: Riesiger 85" Mini-LED-TV bei Media Markt im Angebot
- Zero Trust: Windows Server startet verschlüsselte Namensauflösung
- Nvidia GPU RTX Pro 6000: Preis steigt um krasse 55 Prozent
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen