Integer Overflow Sicherheitslücke in Google Chrome

Ende 2023 wurde eine hoch kritische Sicherheitslücke in der Browser-Software Google Chrome aufgedeckt. Die Schwachstelle, bekannt unter der Kennzeichnung CVE-2023-6345, wurde durch die Sicherheitsforscher Benoît Sevens und Clément Lecigne von Googles Threat Analysis Group identifiziert.

Die betroffene 2D Draw Bibliothek, Skia’s MeshOp::onCombineIfPossible, weist einen Integer-Überlauf auf, der zu unautorisierten Schreibzugriffen im Heap-Speicher führen kann. Dieses Problem betrifft alle Chrome-Versionen vor 119.0.6045.199. Google hat bereits am 28. November einen Patch veröffentlicht, um das Problem zu beheben.

Die Sicherheitslücke entsteht, wenn mehrere DRAW_VERTICES_OBJECT-Operationen in einem Skia-Bild (skp) durchgeführt werden und die MeshOp::onCombineIfPossible-Funktion versucht, diese zu kombinieren. Hierbei kommt es zu einem Überlauf der 32-bit Integer-Werte, was theoretisch das Schreiben über das Ende eines zugewiesenen Buffers ermöglicht.

Die Entwickler von Google haben den Fehler durch eine Sicherheitsüberprüfung im Patch behoben, der sicherstellt, dass solche Überläufe nicht auftreten können. Die Details des Patches sind über die offizielle Skia-Git-Repository-Seite zugänglich.

Nutzer von Google Chrome werden dringend dazu aufgefordert, ihre Software auf die neueste Version zu aktualisieren, um sich vor möglichen Ausnutzungen dieser Schwachstelle zu schützen. Der Update kann über die integrierte Update-Funktion des Browsers oder durch direkten Download über Googles Chrome Release Blog erfolgen.

Related Posts

Hohes Risiko durch Sicherheitslücken in Keycloak

In der Open-Source-Identitäts- und Zugriffsmanagement-Software Keycloak wurden im April 2024 mehrere schwerwiegende Sicherheitsmängel aufgedeckt. Diese betreffen insbesondere die Umleitungsfunktion (Redirect) bei Authentifizierungsanfragen.

Read More

Schwerwiegende Sicherheitslücke in Delinea Secret Server behoben

Delinea, ein führender Anbieter von Sicherheitslösungen für Unternehmensserver, hat ein Update für seinen Secret Server On-Premises veröffentlicht, das eine kritische Sicherheitslücke schließt. Die betroffene Version 11.7.000001 steht zum Download bereit, und Patches für frühere Versionen sollen folgen, sobald die Tests abgeschlossen sind.

Read More

OpenJS warnt vor Social-Engineering-Angriffen auf Open-Source-Projekte

Die Open Source Security (OpenSSF) und die OpenJS Foundation schlagen Alarm wegen einer Zunahme von Social-Engineering-Versuchen, die darauf abzielen, Kontrolle über Open-Source-Projekte zu erlangen. Diese Entwicklung folgt auf den kürzlichen Vorfall mit den XZ Utils, bei dem ein ähnlicher Angriff gerade noch rechtzeitig vereitelt werden konnte.

Read More