Google Chrome: Sicherheitslücke im PDF-Reader ermöglichte Ausführung von Schadcode
Googles Chrome-Brower verfügt seit Jahren über einen integrierten PDF-Reader, und das aus guten Gründen: Einerseits muss der Nutzer nicht mehr zwingend die Adobe-Software installiert haben und andererseits hat man so die Updates selbst im Griff. In diesem integrierten Reader ist nun allerdings eine schwere Sicherheitslücke entdeckt worden, mit dem ein Angreifer die volle Kontrolle über den PC des Nutzers übernehmen konnte. Der Bug ist bereits behoben.
Da der Adobe Reader über Jahre eher als offenes Scheunentor mit unendlichen bugs statt als praktisches Tool bekannt war, ging Google dazu über eine eigene Variante zu verwenden und so potenziell die Sicherheitslücken zu umgehen. Doch ausgerechnet in dieser Komponente ist einem Sicherheitsforscher von Cisco eine Lücke aufgefallen, die vielleicht noch weitreichende Konsequenzen haben könnte.
Der Sicherheitsforscher Aleksandar Nikolic hat die Lücke in der PDF-Komponente von Chrome entdeckt, die von der OS-Software PDFium gestellt wird. Diese enthielt einen Bug beim verarbeiten von Bild-Dateien im JPEG2000-Format. Durch eine im PDF-Dokumente eingebettete und manipulierte Bild-Datei konnte ein Buffer Overflow ausgelöst werden, mit dem dann beliebiger Code ausgeführt werden konnte. Dieser Code wurde dann außerhalb des Chrome-Browsers und mit vollen Berechtigungen ausgeführt, so dass der Zugriff auf das komplette System möglich gewesen ist.
Das Problem liegt nicht im Chrome-Browser, sondern in der Bild-Komponente des verwendeten PDF-Readers. Dieser verwendet die Open Source-Bibliothek OpenJPEG, in der der Fehler enthalten ist. Da diese Bibliothek möglicherweise auch in vielen anderen Projekten zum Einsatz kommt, könnte der Fehler noch in weiteren Apps stecken – derzeit ist allerdings nichts in dieser Richtung bekannt.
Googles Entwickler haben die Lücke kurz nach der Meldung über das Bug Bounty-Programm gestopft und schon nach 6 Tagen ein Update ausgerollt. Der Forscher hat seine Prämie von 3.000 Dollar bekommen und nach dem Rollout des Updates hat man den Fehler nun unter der Kennung CVE-2016-1681 veröffentlicht. Ob die Lücke jemals ausgenutzt worden ist ist nicht bekannt, doch spätestens jetzt könnten einige Exploits in Umlauf geraten, die vielleicht auch noch in anderen Browsern und Apps funktionieren könnten.
Im Chrome-Browser ist die Lücke ab der Version 51.0.2704.63 behoben – jeder sollte also im Idealfall eine höhere Versionsnummer installiert haben. Sollte das noch nicht der Fall sein, muss der Browser einfach nur neu gestartet werden damit das Update installiert werden kann. Die aktuelle Versionsnummer lässt sich ganz einfach unter der URL chrome://help abrufen.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Unfassbar. Ich denke wieder ein Zeichen, dass jene längst jede Kontrolle über das verloren haben woran sie arbeiten. Das kann bitte absolut verallgemeinert verstanden werden.
Wozu AntiViren- etc. Software? Damit ich die Chance eines Angriff lediglich etwas einschränke? Niedlich.