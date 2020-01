Angreifer könnten Googles Webbrowser Chrome mit Schadcode attackieren und sich so unter Umständen dauerhaft auf Computern einnisten. Verantwortlich dafür sind mehrere Sicherheitslücken, die die Entwickler nun in der Version 79.0.3945.130 für Linux, macOS und Windows geschlossen haben.

Eine Schwachstelle (CVE-20206478) ist mit dem Bedrohungsgrad "kritisch" eingestuft. Durch ein erfolgreiches Ausnutzen könnte ein Angreifer einen Speicherfehler (use-after-free) auslösen und so Schadcode ausführen. Wie ein konkretes Angriffsszenario aussehen könnte, führt Google in einem Beitrag zur aktuellen Chrome-Version nicht aus.

Für die drei weiteren Schwachstellen hat Google das Angriffsrisiko "hoch" vergeben. Darunter befindet sich auch die Windows-Lücke, die die National Security Agency (NSA) an Microsoft gemeldet hat. Microsoft hat die Sicherheitslücke am Patchday geschlossen.

Setzen Angreifer an dieser Schwachstelle in der Windows-Krypto-Bibliothek Crypt32.dll an, könnten sie beispielsweise Zertifikate fälschen und so betrügerische Websites gegenüber Webbrowsern als legitime und vertrauenswürdige Seite aussehen lassen.

Chrome kann helfen

Da mittlerweile mehrere Exploits zum Ausnutzen der Lücke erschienen sind, sollten Windows-Nutzer die Sicherheitspatches zügig über Windows Update installieren. In der Regel geschieht dies automatisch. Von der Schwachstelle sind Microsoft zufolge ausschließlich Windows 10 und Windows Server 2016/2019 betroffen.

Auf ungepatchten Systemen kann nun Chrome dazwischen grätschen: Einem Entwickler des Browsers zufolge haben sie einen erweiterten Integritätscheck von Zertifikaten eingebaut, der in diesem Kontext präparierte TLS-Zertifikate erkennt. Will man nun mit einem ungepatchten Windows-System eine mit einem präparierten Zertifikat ausgestattete Seite besuchen, zeigt der Browser eine Warnung an und blockt den Besuch. (des)