Neue Chrome Zero-Day-Schwachstelle in freier Wildbahn
Google hat Sicherheitsupdates für den Webbrowser Chrome veröffentlicht, um eine schwerwiegende Sicherheitslücke zu beheben, die als Zero-Day-Schwachstelle eingestuft wurde und bereits aktiv von Angreifern ausgenutzt wurde. Es wird dringend empfohlen, diese Updates so schnell wie möglich zu installieren.
Die Schwachstelle mit der CVE-Kennung CVE-2023-7024 wurde als Heap-basierter Pufferüberlauf im WebRTC-Framework beschrieben, der zu Programmabstürzen oder zur Ausführung von beliebigem Code führen kann. Entdeckt wurde sie von der Threat Analysis Group (TAG) bei Google.
Um weiteren Missbrauch zu verhindern, wurden keine weiteren Details über die Sicherheitslücke veröffentlicht, wobei Google einräumt, dass „ein Exploit für CVE-2023-7024 in freier Wildbahn existiert“.
Da es sich bei WebRTC um ein Open-Source-Projekt handelt, das auch von Mozilla Firefox und Apple Safari unterstützt wird, ist derzeit nicht klar, ob die Schwachstelle Auswirkungen über Chrome und Chromium-basierte Browser hinaus hat.
Es ist bereits das achte Mal innerhalb eines Jahres, dass eine aktiv ausgenutzte Zero-Day-Schwachstelle im Chrome-Browser behoben werden musste:
- CVE-2023-2033 (CVSS-Score: 8.8) – unklare Typisierung in V8
- CVE-2023-2136 (CVSS-Punktzahl: 9.6) – Ganzzahliger Überlauf in Skia
- CVE-2023-3079 (CVSS-Punktzahl: 8.8) – unklare Typisierung in V8
- CVE-2023-4762 (CVSS-Punktzahl: 8.8) – unklare Typisierung in V8
- CVE-2023-4863 (CVSS-Punktzahl: 8.8) – Heap-Pufferüberlauf in WebP
- CVE-2023-5217 (CVSS-Punktzahl: 8.8) – Heap-Pufferüberlauf in der vp8-Kodierung in libvpx
- CVE-2023-6345 (CVSS-Punktzahl: 9.6) – Ganzzahliger Überlauf in Skia
Laut von Qualys zusammengestellten Daten wurden im Jahr 2023 insgesamt 26.447 Schwachstellen in Chrome öffentlich gemacht, über 1.500 CVEs mehr als im Vorjahr. 115 Schwachstellen wurden von Bedrohungsakteuren und Ransomware-Gruppen ausgenutzt. Dabei waren Remotecode-Ausführung, Umgehung von Sicherheitsfunktionen, Puffermanipulation, Privilegienerweiterung sowie Fehler bei der Eingabevalidierung und -parsing die wichtigsten Schwachstellen.
Benutzern wird empfohlen, auf die Chrome-Version 120.0.6099.129/130 für Windows und 120.0.6099.129 für macOS und Linux zu aktualisieren, um die Bedrohungslage zu entschärfen.
Benutzern von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi wird ebenfalls empfohlen, die Korrekturen anzuwenden, sobald sie verfügbar sind.