Start Empfohlen Google behebt seine eigenen Sicherheitsfehler im Chrome Stable Release Update

Google behebt seine eigenen Sicherheitsfehler im Chrome Stable Release Update

18
0


Der stabile Kanal für Googles Chrome-Webbrowser (Chrome 2) hat in den letzten Wochen nicht viel getan, was vielleicht darauf hindeutet, wie stabil er war. Aber zwei ausnutzbare Fehler, die Googles Ingenieure als „hoch“ und „kritisch“ einstufen, haben das Unternehmen dazu veranlasst, ein automatisches Update für seine eingesetzten Chrome-2-Webbrowser herauszugeben, beginnend nach Mitternacht gestern Abend.

Obwohl Code, der in Chrome ausgeführt wird, in einer strengen Sandbox ausgeführt werden soll, wie Ingenieure heute morgen sehr früh zugegeben haben, bestand die Möglichkeit, dass ein in böser Absicht erstellter regulärer Ausdruck (RegEx, verwendet in lokalen Suchen) einen Heap-Überlauf erzeugte, wodurch eine Situation geschaffen wurde, in der beliebiger Code ohne die Notwendigkeit von Berechtigungen ausgeführt werden konnte. Das war das „hohe“ Problem, das dazu führen könnte, das „kritische“ Problem auszulösen: Ein bereits kompromittierter Browser könnte dann böswillig dazu manövriert werden, unverhältnismäßig kolossale Speicherpuffer zu vergeben, was den Rechner verlangsamt (Denial of Service) und möglicherweise stürzt den Browser auf dem Weg ab.

Betanews testete die neueste Version 2.0.172.37 in Windows XP Professional SP3 (was in letzter Zeit die beliebteste Plattform von Chrome zu sein scheint), um Hinweise auf einen Leistungseinbruch zu finden. Benchmarks, die Tests mit regulären Ausdrücken ausführen, liefen im Durchschnitt etwa 3,4% langsamer als Build 2.0.172.33 – ein sehr akzeptabler Leistungseinbruch für zusätzliche Sicherheit.

Gegenwärtig gibt es keine Beweise dafür, dass funktionierende Exploits dieser Bedingungen jemals im Feld getestet wurden – sie scheinen für Leute, die versuchen, Browser zu knacken, genauso viel Neues zu sein wie für jeden anderen.



Vorheriger ArtikelMozilla fordert Sicherheitsforscher heraus und sagt, Firefox-Exploit-Berichte seien falsch
Nächster ArtikelElance-Datenverletzungen durch unbekannte (aber möglicherweise ukrainische) Parteien

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein