Aktuelles, Branche - geschrieben von dp am Montag, April 19, 2021 18:46 - noch keine Kommentare
Tenable warnt vor weiterer Zero-Day-Schwachstelle in Google Chrome
Forscher veröffentlichte PoC für One-Day-Schwachstelle in der von Google Chrome und Microsoft Edge (Chromium) verwendeten V8 JavaScript-Engine
[datensicherheit.de, 19.04.2021] Zum zweiten Mal innerhalb einer Woche sei ein Proof-of-Concept-Exploit (PoC Exploit) für eine Zero-Day-Schwachstelle in „Google Chrome“ veröffentlicht worden, meldet Tenable: „Anfang vergangener Woche veröffentlichte ein Forscher einen PoC für eine One-Day-Schwachstelle in der von ,Google Chrome‘ und ,Microsoft Edge (Chromium)‘ verwendeten ,V8 JavaScript‘-Engine.“ Hierzu habe sich Tenable bereits geäußert.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable
Satnam Narang: Beide öffentlich bekannt gemachten Schwachstellen für sich genommen nur von begrenztem Wert
Separate Sicherheitslücke erforderlich, um aus Chrome-Sandbox auszubrechen
„Was diese beiden öffentlich bekannt gemachten Schwachstellen ähnlich macht, ist, dass sie für sich genommen nur von begrenztem Wert sind. In diesem Fall ist eine separate Sicherheitslücke erforderlich, um aus der ,Chrome‘-Sandbox auszubrechen“, erläutert Satnam Narang, „Staff Research Engineer“ in seinem aktuellen Kommentar zum Bekanntwerden einer weiteren Schwachstelle in diesem Kontext.
Auch diese neueste Schwachstelle werde durch die Tatsache abgeschwächt, „dass sie nicht mit einer Schwachstelle gepaart ist, um der Sandbox zu entkommen“. Daher könne ein Angreifer das zugrundeliegende Betriebssystem nicht kompromittieren oder auf vertrauliche Informationen zugreifen, ohne diese Schwachstelle mit einer zweiten Schwachstelle zu kombinieren, um die Sandbox zu umgehen.
Browser wie Chrome und Edge so schnell wie möglich mit Patches versehen!
Sogenannte Zero-Days mögen die meiste Aufmerksamkeit auf sich ziehen – bekannte, aber ungepatchte Schwachstellen ermöglichten jedoch die meisten Sicherheitsverletzungen und würden von fortgeschrittenen Angreifern bevorzugt. Am 15. April 2021 habe die NSA (National Security Agency) gemeinsam mit dem FBI und der CISA (Cybersecurity and Infrastructure Security Agency) ein „Cybersecurity Advisory“ veröffentlicht, in dem eine Reihe von bekannten Schwachstellen aufgezeigt würden, „auf die angeblich russische Auslandsgeheimdienste zurückgreifen“.
Narang führt aus: „Trotz der begrenzten Auswirkungen der öffentlichen Bekanntgabe einer weiteren ,Google Chrome‘-Schwachstelle empfehlen wir Anwendern und Unternehmen weiterhin, ihre Browser wie ,Chrome‘ und ,Edge‘ so schnell wie möglich mit Patches zu versehen.“
Weitere Informationen zum Thema:
Tenable®
Blog
datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021
datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe / Unternehmen können mittels eines mehrschichtigen und proaktiven Sicherheitsansatzes Risiken und Folgeschäden deutlich minimieren
Aktuelles, Experten - Feb. 8, 2025 0:13 - noch keine Kommentare
Mahnung der Freien Ärzteschaft im ePA-Kontext: Krankheitsdaten sind keine Ware!
weitere Beiträge in Experten
- „AI Act“: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft
- AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen!
- Datenschutzkonferenz: Hilfestellungen für effektive Anonymisierung und Pseudonymisierung personenbezogener Daten geplant
- Zwei der weltweit größten Cybercrime-Foren mit über zehn Millionen registrierten Nutzern abgeschaltet
- KI: Jeder Achte glaubt, dass Anwälte weitgehend überflüssig werden könnten
Aktuelles, Branche - Feb. 8, 2025 0:26 - noch keine Kommentare
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert
weitere Beiträge in Branche
- Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!
- Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken!
- IT-Sicherheit: Gedanken zum Generationenkonflikt
- Finanzsektor: Herausforderungen und zugleich Chancen durch DORA
- AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren