Google veröffentlicht Exploit-Code für einen nicht behobenen Chromium-Bug
Google hat Exploit-Code für eine nicht behobene Chromium-Sicherheitslücke veröffentlicht und damit Millionen von Nutzern von Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc und anderen Chromium-basierten Browsern einem Risiko ausgesetzt, das Sicherheitsforscher zufolge besser privat geblieben wäre, bis ein Patch bereitsteht. Ars Technica berichtete, dass der Fehler die Browser Fetch-Schnittstelle betrifft und von einer bösartigen Website ausgenutzt werden kann, um eine persistente service worker-Verbindung aufrechtzuerhalten, selbst nach einem Neustart des Browsers oder Geräts.
Dies überschreitet die Schwelle für eine ernste Sicherheitsgeschichte, da es zwei Probleme gleichzeitig vereint: einen seit Langem nicht behobenen Browser-Fehler und öffentlichen Proof-of-Concept-Code, der die Hürde für Missbrauch senkt. Laut Ars Technica sagte der Forscher, der das Problem Ende 2022 privat gemeldet hatte, dass der veröffentlichte Exploit relativ einfach zu verwenden sei, auch wenn der Betrieb im großen Maßstab noch Arbeit erfordern würde. Genau diese Art von Offenlegungslücke kann aus einem Nischen-Browser-Bug ein breiteres Betriebsrisiko machen.
Der berichtete Einfluss ist keine vollständige Übernahme des Geräts, aber dennoch erheblich. Der Exploit kann Berichten zufolge den Browser in einen begrenzten Proxy verwandeln, helfen, DDoS-Traffic zu erzeugen, und einige Muster der Browseraktivität offenlegen. Da jede besuchte Website potenziell den Missbrauch auslösen könnte, ist die Angriffsfläche ungewöhnlich groß. Firefox und Safari sind nicht betroffen, da sie die gleiche Background-Fetch-Funktion nicht unterstützen, aber das Chromium-Ökosystem ist groß genug, dass das Risiko dennoch einen großen Teil der Desktop-Nutzung abdeckt.
Der Zeitplan macht die Geschichte noch besorgniserregender. Ars berichtet, dass die Sicherheitslücke vor 29 Monaten gemeldet wurde, in Chromium-Diskussionen eine hohe S1-Einstufung erhielt und ungepatcht blieb, als der Proof-of-Concept veröffentlicht wurde. Obwohl Google die Offenlegung später entfernte, sollen Kopien auf Archivseiten verbleiben. Das bedeutet, dass die Verteidiger die Kontrolle über den Informationsfluss verloren haben. Angreifer, Forscher und Incident-Responder arbeiten nun von etwa demselben Ausgangspunkt aus, während die Nutzer noch auf einen Fix warten.
Die praktische Bedeutung für Unternehmen ist, dass Browser-Härtung nicht länger als leichtgewichtiges Endpunktproblem behandelt werden kann. Unternehmen, die stark auf Chromium-basierte Browser angewiesen sind, müssen möglicherweise auf unerklärliches Download-UI-Verhalten achten, riskante Browserkontexte einschränken und in den nächsten Tagen die Updates der Anbieter genau verfolgen. Dies ist auch eine weitere Erinnerung daran, dass Browser-Sicherheitsschulden jahrelang in wenig genutzten Funktionen schlummern können, bevor sie plötzlich dringend werden.
Bis Google und Chromium-Anbieter einen Patch ausliefern, geht es bei der Geschichte weniger um Panik als um Exposure-Management. Öffentlicher Exploit-Code verändert sofort die Risikogleichung. Sobald dieser Code draußen ist, zählt jeder Tag ohne Fix mehr.
Originally reported by Ars Technica. Read the original article for additional details.
View original source