Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Google veröffentlicht Chrome-Update zur Behebung einer neuen Zero-Day-Schwachstelle
Obanla Opeyemi
16. September 2022. TuxCare-Expertenteam
Google hat einen Notfall-Patch veröffentlicht, um eine Zero-Day-Schwachstelle zu beheben, die in freier Wildbahn ausgenutzt wurde. Die Zero-Day-Schwachstelle mit der Bezeichnung CVE-2022-3075 wurde am 30. August 2022 von einem anonymen Forscher entdeckt und gemeldet.
Die Schwachstelle ist eine unzureichende Datenvalidierung in Mojo. Dabei handelt es sich um eine Sammlung von Laufzeitbibliotheken, die einen plattformunabhängigen Mechanismus für die Kommunikation zwischen Prozessen (IPC) bieten.
Google räumte ein, dass es "Kenntnis von Berichten hat, dass ein Exploit für CVE-2022-3075 in freier Wildbahn existiert". Der Tech-Gigant versäumte es jedoch, weitere Einzelheiten über die Art der Angriffe zu nennen, die den Nutzern helfen könnten, weitere Bedrohungsakteure von der Ausnutzung der Schwachstelle abzuhalten.
Google bittet die Nutzer, auf die Version 105.0.5195.102 für Windows, macOS und Linux zu aktualisieren, um die drohenden Gefahren zu entschärfen. Benutzern von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi wird empfohlen, die Korrekturen anzuwenden, sobald sie verfügbar sind.
Das Update ist die sechste Zero-Day-Schwachstelle in Chrome, die Google seit Anfang des Jahres behoben hat. Zu den anderen fünf Schwachstellen gehören CVE-2022-0609, CVE-2022-1096, CVE-2022-1096, CVE-2022-1364, CVE-2022-2294, CVE-2022-2856.
CVE-2022-0609 ist eine "user-after-free"-Schwachstelle in der Komponente Animation, die bei erfolgreicher Ausnutzung zur Beschädigung gültiger Daten und zur Ausführung von beliebigem Code auf den betroffenen Systemen führen kann.
CVE-2022-1096 ist eine Zero-Day-Schwachstelle, die als eine Art von Verwirrungsschwachstelle in der V8 JavaScript-Engine beschrieben wird.
CVE-2022-1364 ist ähnlich wie CVE-2022-1096, da es sich ebenfalls um einen Typverwechslungsfehler in der V8 JavaScript-Engine handelt.
CVE-2022-2294 ist ein Heap-Overflow-Fehler in der WebRTC-Komponente, die Audio- und Videokommunikation in Echtzeit in Browsern ermöglicht, ohne dass Plugins installiert oder native Anwendungen heruntergeladen werden müssen.
CVE-2022-2856 ist ein Fall von unzureichender Validierung von nicht vertrauenswürdigen Eingaben in Intents.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
