Ende 2023 wurde eine hoch kritische Sicherheitslücke in der Browser-Software Google Chrome aufgedeckt. Die Schwachstelle, bekannt unter der Kennzeichnung CVE-2023-6345, wurde durch die Sicherheitsforscher Benoît Sevens und Clément Lecigne von Googles Threat Analysis Group identifiziert.
Die betroffene 2D Draw Bibliothek, Skia’s MeshOp::onCombineIfPossible, weist einen Integer-Überlauf auf, der zu unautorisierten Schreibzugriffen im Heap-Speicher führen kann. Dieses Problem betrifft alle Chrome-Versionen vor 119.0.6045.199. Google hat bereits am 28. November einen Patch veröffentlicht, um das Problem zu beheben.
Die Sicherheitslücke entsteht, wenn mehrere DRAW_VERTICES_OBJECT-Operationen in einem Skia-Bild (skp) durchgeführt werden und die MeshOp::onCombineIfPossible-Funktion versucht, diese zu kombinieren. Hierbei kommt es zu einem Überlauf der 32-bit Integer-Werte, was theoretisch das Schreiben über das Ende eines zugewiesenen Buffers ermöglicht.
Die Entwickler von Google haben den Fehler durch eine Sicherheitsüberprüfung im Patch behoben, der sicherstellt, dass solche Überläufe nicht auftreten können. Die Details des Patches sind über die offizielle Skia-Git-Repository-Seite zugänglich.
Nutzer von Google Chrome werden dringend dazu aufgefordert, ihre Software auf die neueste Version zu aktualisieren, um sich vor möglichen Ausnutzungen dieser Schwachstelle zu schützen. Der Update kann über die integrierte Update-Funktion des Browsers oder durch direkten Download über Googles Chrome Release Blog erfolgen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: