In älteren Google Chrome-Browserversionen vor der Version 60 gibt es eine Sicherheitslücke, die Remote Code Execution ermöglicht. Dieses Sicherheitslücke bleibt ungepatcht.
Anzeige
Die Sicherheitslücke wurde von einem Sicherheitsforscher entdeckt, der anonym bleiben will. Er hat das Sicherheitsteam von Beyond Security informiert, die den Bug an Google weiter meldeten. Die Google-Entwickler teilten den Sicherheitsspezialisten mit, dass es keine Pläne gebe, diesen Bug zu fixen. In der aktuellen Version von Google Chrome ist die Sicherheitslücke nicht ausnutzbar.
Die gesamte Kommunikation im Google Bug-Tracker ist nicht öffentlich einsehbar. Bei Bleeping Computer hat man den Fall aber hier beschrieben. Gut 10 % der Chrome-Nutzer scheinen von der Sicherheitslücke, die in einer Chrome Turbofan-Komponente steckt, betroffen. Die Details sind diesem Security Advisory (gelöscht) von Beyond Security beschrieben. Ein Exploit ist wohl verfügbar.
Aktuell ist der Google Chrome-Browser Version 60.x – siehe auch Google Chrome 60.0.3112.101. Falls ihr den Browser verwendet, heißt es auf diese Version aktualisieren.
Anzeige
Mir ist nicht klar, inwiefern das eine Meldung wert ist. Wer alte Chromeversionen nutzt, ist so vielen Lücken ausgesetzt, dass diese eine keine Rolle mehr spielt. Das Update auf die neueste Chromeversion erfolgt beim Privatanwender automatisch (kann man natürlich auch manuell anstoßen, ich weiß), so dass der gefährdete Kreis sehr klein sein sollte.
Bei Chrome portable gibt es keine Auto-Updates – und die Clones sind auch nicht immer auf der neuesten Codebasis. Ansonsten waren 10 % Nutzer genannt.
{Ansonsten waren 10 % Nutzer genannt.}
Da steht aber "scheinen", nicht "sind", und die Zahl der Portable-Nutzer dürfte die Zahl sein, die sich auch mit manuellen Updates auskennt. Schließlich haben sie ja die für ONUs kaum auffindbare portable Variante im Netz gefunden. ;)
Die 10% der Nutzer sind wahrscheinlich die Leute die sich von ihrem Alten Windows XP und Vista nicht trennen können und auf der Chrome 49 Version hängen geblieben sind, Chrome unterstützt ab Version 50 kein Windows XP und Windows Vista mehr.
Wer eben nicht dazu in der Lage oder bereit ein Neueres Betriebssystem zu installieren oder auf Linux umzusteigen bleibt eine Sicherheitslücke.