Eine Zero-Day-Sicherheitslücke in Googles Chrome-Browser wird aktiv in freier Wildbahn ausgenutzt.

Der Internetgigant hat diese Woche 11 Sicherheitspatches für Chrome veröffentlicht, die nun schrittweise an diejenigen mit aktivierten automatischen Updates für Windows, Mac und Linux weitergegeben werden; Allerdings kann jetzt jeder manuell aktualisieren.

Der Zero-Day (CVE-2022-2856) wird als hoher Schweregrad eingestuft und beinhaltet „unzureichende Validierung nicht vertrauenswürdiger Eingaben in Intents“. Googles Ratgeber.

Absichten, in denen sich der Fehler befindet, werden von Chrome verwendet, um Benutzereingaben zu verarbeiten. Wenn der Browser diese Eingabe nicht ordnungsgemäß validiert, kann ein Angreifer eine Eingabe speziell erstellen (z. B. einen Beitrag im Kommentarbereich einer Website), die von der Anwendung nicht erwartet wird.

„Dies wird dazu führen, dass Teile des Systems unbeabsichtigte Eingaben erhalten, was zu einem veränderten Kontrollfluss, willkürlicher Steuerung einer Ressource oder willkürlicher Codeausführung führen kann.“ nach MITRE.

Andere Details des Fehlers sind spärlich – Google schränkt normalerweise Details ein, bis ein Quorum von Benutzern die Updates angewendet hat.

Dennoch: „Google ist sich bewusst, dass ein Exploit für CVE-2022-2856 in freier Wildbahn existiert“, heißt es in der Warnung, Benutzer sollten also jetzt patchen.

Dies ist die fünfte aktiv ausgenutzte Zero-Day-Schwachstelle, die in veröffentlicht wurde Chrom im Jahr 2022. Die vorherigen vier waren: CVE-2022-0609 (Februar), CVE-2022-1096 (März), CVE-2022-1364
(April) und CVE-2022-2294
(Juli).