Sicherheitsupdate für Google Chrome

chrome 

Am Freitag hat Google neue Versionen von Google Chrome für Windows, Mac, Linux und Chrome OS veröffentlicht. Hintergrund sind Sicherheitslücken in Chrome, die beim Pwn2Own-Wettbewerb entdeckt wurden. Auch Chrome for Android hat ein Update erfahren.

Mindestens 310.000$ zahlte Google an die Entdecker der Lücken aus. Die Versionen 33.0.1750.152 für Mac und Linux sowie 33.0.1750.154 für Windows schließen folgende Lücken:

  • [$100,000] [352369] Code execution outside sandbox. Credit to VUPEN.
    • [352374High CVE-2014-1713: Use-after-free in Blink bindings
    • [352395High CVE-2014-1714: Windows clipboard vulnerability
  • [$60,000] [352420] Code execution outside sandbox. Credit to Anonymous.
    • [351787High CVE-2014-1705: Memory corruption in V8
    • [352429High CVE-2014-1715: Directory traversal issue

In beiden Fällen konnte Code außerhalb der Sandbox ausgeführt werden. Die Sandbox von Chrome stellt ein zusätzliches Sicherheitsfeature dar, in der jeder Prozess läuft. Ein Angreifer muss auch diese Überwinden, um auf das System zugreifen zu können.

Auf der CanSecWest 2014 wurde Google auf diese Lücken in Chrome for Android aufmerksam gemacht:

  • [351787High CVE-2014-1705: Memory corruption in V8. Credit to GeoHot and Anonymous.
  • [351852High CVE-2014-1710: Memory corruption in GPU command buffer. Credit to Pinkie Pie.
  • [352374High CVE-2014-1713: Use-after-free in bindings. Credit to VUPEN.

Auch für Chrome OS gibt es ein Update auf die Version 33.0.1750.152. Die Lücken erlauben es persistenten Code auf Chrome OS auszuführen. Die Lücke, die Pinkie Pie gemeldet hat, hat derzeit noch keine festgelegte Summe.

  • [Like a c-c-c-c-hamp!!! $150,000] [351788Persistent code execution on Chrome OS. Credit to geohot.
    • [351787High CVE-2014-1705: Memory corruption in V8
    • [351796Low CVE-2014-1706: Command Injection in Crosh
    • [351811High CVE-2014-1707: Path traversal issue in CrosDisks
    • [344051Critical CVE-2014-1708: Issue with file persistence at boot
  • [$TBD] [352492Sandboxed code execution and kernel OOB write. Credit to Pinkie Pie.
    • [351852High CVE-2014-1710: Memory corruption in GPU command buffer
    • [351855High CVE-2014-1711: Kernel OOB write in GPU driver
  • [352374High CVE-2014-1713: Use-after-free in Blink bindings. Credit to VUPEN.

Die Updates werden bereits automatisch verteilt und sollten sich bereits installieren.

Teile diesen Artikel: