Windows und Chrome: Google findet Sicherheitslücke

In der Kombination aus Microsoft Windows 7-10 und Google Chrome steckt eine Sicherheitslücke. Updates lösen das Problem
Foto: Picture Alliance / dpa Regel­mäßig schauen sich die Sicher­heits­for­scher von Google veröf­fent­lichte Soft­ware an und regel­mäßig finden sie soge­nannte Zero-Day-Lücken. Sobald Google was gefunden hat, werden die Soft­ware­her­steller infor­miert und wenn die binnen sieben Tagen nicht reagieren oder keinen Sicher­heit-Patch hinbe­kommen, wird die Lücke veröf­fent­licht.

Aktu­elle Lücke

In der Kombination aus Microsoft Windows 7-10 und Google Chrome steckt eine Sicherheitslücke. Updates lösen das Problem
Foto: Picture Alliance / dpa Aktuell gibt es eine Lücke in allen Windows-Versionen von Windows 7 bis hoch zum aktu­ellen Windows 10, berichtet die Seite ZDnet.

Ein Patch gibt es noch nicht, laut Google werde die Lücke aber bereits aktiv für Hacker­angriffe ausge­nutzt. Ben Hawkes, Chef von Googles Sicher­heits­for­schungs­abtei­lung "Project Zero", weiß aber schon, dass Micro­soft dieses Loch jedoch mit den November-Updates, die am nächsten Dienstag (10. November) ab 19 Uhr geladen werden, gestopft haben will.

Loch in Kombi­nation ausnutzbar

Hawkes hat heraus­gefunden, dass das Loch in Windows zusammen mit einem weiteren Loch im "haus­eigenen" Google-Browser Chrome genutzt wird, steckt. Diese Loch (basie­rend auf der Kompo­nente "FreeType") wurde für Google Chrome und den "Halb­bruder" Micro­soft Edge (basie­rend auf Chro­mium) etwa Ende Oktober geschlossen. Die Browser aktua­lisieren sich ständig auto­matisch, wenn sie im Internet sind. Wer die Version 86 (Chrome 86.0.0.4240.111, MS Edge 86.0.622.58 oder höher) auf seinem Rechner vorfindet, ist hier also schon geschützt. Falls nein, beim Abrufen der Versions-Infor­mation (Hilfe/über Chrome/Edge) wird das Update auto­matisch ange­stoßen.

Durch die Chrome-Schwach­stelle konnten Angreifer Schad­code aus der Ferne einschleusen und inner­halb des Brow­sers ausführen. In Kombi­nation mit dem noch nicht beho­benen Windows-Fehler, konnte die Sandbox von Chrome verlassen und Schad­code in das darunter liegende Windows-Betriebs­system trans­por­tiert werden.

Schwach­stelle im Kernel

Wie so oft steckt die Schwach­stelle im Windows-Kernel und erlaubt eine nicht auto­risierte Auswei­tung von Benut­zer­rechten, womit die Angreifer einen Rechner über­nehmen können. Da Micro­soft nicht recht­zeitig fertig wurde, enthält Googles Bericht auch einen Beispiels­code, womit sich von Kennern ein Angriff nach­voll­ziehen ließe.

Wer hinter den Atta­cken steckt, sagt Google nicht. Mögli­cher­weise sind es "staat­lich gestützte Hacker". Shane Huntley von der "Googles Threat Analysis Group" ist sich aber sicher, dass das nicht im Zusam­men­hang mit den aktu­ellen US-Wahlen steht.

Neuauf­lage von 2019: Verur­sacher unklar

Die Hacker hatten vor März 2019 eine ähnliche Möglich­keit gefunden, in Kombi­nation von Google Chrome und Windows in die Systeme vorzu­stoßen, dann deckten die Google-Sicher­heits­for­scher das Loch auf.

Google hält alle Details zu der Schwach­stelle zurück. Ein Patch für das Open-Source-Projekt FreeType erlaubt jedoch Rück­schlüsse auf die Fehler­quelle und damit die Entwick­lung weiterer Exploits.

Regel­mäßig Updates einspielen

Wer sein Windows-10-System auf Vorder­mann bringen will, sollte die Windows-Taste + "I" (Ida) zugleich drücken und das Windows-Update aufrufen. Hier wird ein optio­nales Update KB 480364 ange­boten, das weitere (nicht kriti­sche) Probleme behebt. Danach sollte Windows 20H2 19042.610 oder Windows 2004 19041.610 als Versi­ons­nummer erscheinen.

Wem das Update auf 20H2 noch nicht ange­boten wurde, könnte das durch manu­elles Instal­lieren des KB4562830 Updates tun. Mögli­cher­weise kommt das Update auch am nächsten Dienstag mit.