Windows und Chrome: Google findet Sicherheitslücke
In der Kombination aus Microsoft Windows 7-10 und Google Chrome steckt eine Sicherheitslücke. Updates lösen das Problem
Foto: Picture Alliance / dpa
Regelmäßig schauen sich die Sicherheitsforscher von Google veröffentlichte Software an und regelmäßig finden sie sogenannte Zero-Day-Lücken. Sobald Google was gefunden hat, werden die Softwarehersteller informiert und wenn die binnen sieben Tagen nicht reagieren oder keinen Sicherheit-Patch hinbekommen, wird die Lücke veröffentlicht.
Aktuelle Lücke
In der Kombination aus Microsoft Windows 7-10 und Google Chrome steckt eine Sicherheitslücke. Updates lösen das Problem
Foto: Picture Alliance / dpa
Aktuell gibt es eine Lücke in allen Windows-Versionen von Windows 7 bis hoch zum aktuellen Windows 10, berichtet die Seite ZDnet.
Ein Patch gibt es noch nicht, laut Google werde die Lücke aber bereits aktiv für Hackerangriffe ausgenutzt. Ben Hawkes, Chef von Googles Sicherheitsforschungsabteilung "Project Zero", weiß aber schon, dass Microsoft dieses Loch jedoch mit den November-Updates, die am nächsten Dienstag (10. November) ab 19 Uhr geladen werden, gestopft haben will.
Loch in Kombination ausnutzbar
Hawkes hat herausgefunden, dass das Loch in Windows zusammen mit einem weiteren Loch im "hauseigenen" Google-Browser Chrome genutzt wird, steckt. Diese Loch (basierend auf der Komponente "FreeType") wurde für Google Chrome und den "Halbbruder" Microsoft Edge (basierend auf Chromium) etwa Ende Oktober geschlossen. Die Browser aktualisieren sich ständig automatisch, wenn sie im Internet sind. Wer die Version 86 (Chrome 86.0.0.4240.111, MS Edge 86.0.622.58 oder höher) auf seinem Rechner vorfindet, ist hier also schon geschützt. Falls nein, beim Abrufen der Versions-Information (Hilfe/über Chrome/Edge) wird das Update automatisch angestoßen.
Durch die Chrome-Schwachstelle konnten Angreifer Schadcode aus der Ferne einschleusen und innerhalb des Browsers ausführen. In Kombination mit dem noch nicht behobenen Windows-Fehler, konnte die Sandbox von Chrome verlassen und Schadcode in das darunter liegende Windows-Betriebssystem transportiert werden.
Schwachstelle im Kernel
Wie so oft steckt die Schwachstelle im Windows-Kernel und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten, womit die Angreifer einen Rechner übernehmen können. Da Microsoft nicht rechtzeitig fertig wurde, enthält Googles Bericht auch einen Beispielscode, womit sich von Kennern ein Angriff nachvollziehen ließe.
Wer hinter den Attacken steckt, sagt Google nicht. Möglicherweise sind es "staatlich gestützte Hacker". Shane Huntley von der "Googles Threat Analysis Group" ist sich aber sicher, dass das nicht im Zusammenhang mit den aktuellen US-Wahlen steht.
Neuauflage von 2019: Verursacher unklar
Die Hacker hatten vor März 2019 eine ähnliche Möglichkeit gefunden, in Kombination von Google Chrome und Windows in die Systeme vorzustoßen, dann deckten die Google-Sicherheitsforscher das Loch auf.
Google hält alle Details zu der Schwachstelle zurück. Ein Patch für das Open-Source-Projekt FreeType erlaubt jedoch Rückschlüsse auf die Fehlerquelle und damit die Entwicklung weiterer Exploits.
Regelmäßig Updates einspielen
Wer sein Windows-10-System auf Vordermann bringen will, sollte die Windows-Taste + "I" (Ida) zugleich drücken und das Windows-Update aufrufen. Hier wird ein optionales Update KB 480364 angeboten, das weitere (nicht kritische) Probleme behebt. Danach sollte Windows 20H2 19042.610 oder Windows 2004 19041.610 als Versionsnummer erscheinen.
Wem das Update auf 20H2 noch nicht angeboten wurde, könnte das durch manuelles Installieren des KB4562830 Updates tun. Möglicherweise kommt das Update auch am nächsten Dienstag mit.