Google hat am Montag Sicherheitsupdates veröffentlicht, um eine Zero-Day-Schwachstelle mit hohem Schweregrad in seinem Chrome-Webbrowser zu beheben, die laut eigenen Angaben in freier Wildbahn ausgenutzt wird.
Der Mangel, verfolgt als CVE-2022-2294bezieht sich auf einen Heap-Overflow-Fehler in der WebRTC-Komponente, die Audio- und Videokommunikationsfunktionen in Echtzeit in Browsern bereitstellt, ohne dass Plugins installiert oder native Apps heruntergeladen werden müssen.
Heap-Pufferüberläufe, auch als Heap-Überlauf oder Heap-Smashing bezeichnet, treten auf, wenn Daten im Heap-Bereich des Speichers überschrieben werden, was zur Ausführung willkürlichen Codes oder einer Denial-of-Service-Bedingung (DoS) führt.
„Heap-basierte Überläufe können verwendet werden, um Funktionszeiger zu überschreiben, die möglicherweise im Speicher leben, und sie auf den Code des Angreifers verweisen“, erklärt MITRE. “Wenn die Folge die Ausführung willkürlichen Codes ist, kann dies oft dazu verwendet werden, jeden anderen Sicherheitsdienst zu untergraben.”
Die Entdeckung und Meldung des Fehlers am 1. Juli 2022 wird Jan Vojtesek vom Avast Threat Intelligence-Team zugeschrieben. Es sei darauf hingewiesen, dass der Fehler auch die Android-Version von Chrome betrifft.
Wie es bei der Zero-Day-Ausnutzung üblich ist, wurden Details zu dem Fehler sowie andere Einzelheiten im Zusammenhang mit der Kampagne zurückgehalten, um weiteren Missbrauch in freier Wildbahn zu verhindern, und bis ein erheblicher Teil der Benutzer mit einem Fix aktualisiert wurde.
CVE-2022-2294 markiert auch die Behebung der vierten Zero-Day-Schwachstelle in Chrome seit Anfang des Jahres –
Benutzern wird empfohlen, auf Version 103.0.5060.114 für Windows, macOS und Linux und 103.0.5060.71 für Android zu aktualisieren, um potenzielle Bedrohungen abzuwehren. Benutzern von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi wird ebenfalls empfohlen, die Fixes anzuwenden, sobald sie verfügbar sind.