Notfall-Update: Zero-Day-Sicherheitslücke in Google Chrome unter Beschuss

In der Nacht zum Samstag hat Google ein ungeplantes Sicherheitsupdate für den Webbrowser Google Chrome veröffentlicht. Es schließt eine hochriskante Sicherheitslücke, die bereits aktiv angegriffen wird.

Die Lücke, für die in freier Wildbahn ein Exploit existiert, wie Google es in der Release-Meldung formuliert, betrifft die JavaScript-Engine V8. Aufgrund einer sogenannten Type Confusion können Angreifer potenziellen Opfern offenbar Schadcode unterjubeln, und das relativ einfach (CVE-2022-4262). Daher stuft Google die Schwachstelle als „hohes“ Risiko ein.

Eine Type-Confusion-Lücke entsteht dann, wenn im Programmcode Zugriffe auf Ressourcen mit einem inkompatiblen Datentyp erfolgen. Dabei können etwa Speicherbereiche fälschlicherweise überschrieben werden. Genau das passiert auch laut CVE-Eintrag: Angreifer können mit präparierten Webseiten eine Speicherverwürfelung auf dem Heap auslösen.

Quelle: Notfall-Update: Zero-Day-Sicherheitslücke in Google Chrome unter Beschuss | heise online