2020-2459: Google Chrome, Chromium: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-11-10 18:42)

Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Die Schwachstelle wird vom Hersteller als schwerwiegend eingestuft (Schweregrad 'high').

Die Schwachstelle wurde kürzlich bei einem Sicherheitswettbewerb (Tianfu Cup 2020 International Cybersecurity Contest) öffentlich demonstriert. Hier war den Forschern die Ausführung beliebigen Programmcodes und der Ausbruch aus der Sandbox möglich. Als maßgeblich für die Kette werden eine Typenverwechslung (Type Confusion) im Render-Prozess und der Zugriff auf bereits freigegebenen Speicher in der Sandbox (Use-after-Free) angegeben.

Google veröffentlicht zur Behebung der Schwachstelle die Chrome Version 86.0.4240.193 für die Betriebssysteme Linux, Windows und macOS.

Wie üblich stellt Google zum jetzigen Zeitpunkt nur wenig Informationen zur Schwachstelle bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.

Schwachstellen:

CVE-2020-16016

Schwachstelle in Google Chrome und Chromium ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.