Google Chrome schließt Sicherheitslücken (auch einen ungepatchten Windows-Zero-Day-Exploit)

Google schließt im Chrome Browser gleich zwei Lücken, um die Chrome-Nutzer zu schützen. Eine betrifft Flash, aber besonders interessant: Eine betrifft eine bisher durch Microsoft (mutmaßlich in Windows 10) nicht gepatchte Sicherheitslücke. Heißt, dass man momentan beim verwendeten Browser arg aufpassen muss.


Anzeige

Über den Sachverhalt bin ich durch Norbert Rittel auf Google+ aufmerksam gemacht worden. Ich hatte die Infos zuerst in der falschen Schublade einsortiert, aber jetzt passt es hoffentlich.

Flash Player-Update in Google Chrome – eigentlich bekannt

Über die kritische Sicherheitslücke in Adobe Flash hatte ich am 27. Oktober 2016 im Beitrag Adobe Flash: Notfall-Patch 26.10.2016 berichtet. Ende Oktober hat Microsoft ein Update für Windows 8.1 bis Windows 10 für diese Lücke freigegeben (siehe Microsoft Flash-Sicherheits-Update 27.10.2016 für Windows).

Die Adobe-Flash-Sicherheitslücke wurde am 21. Oktober durch das Google Projekt Zero an Adobe berichtet. Adobe hat die Sicherheitsanfälligkeit CVE-2016-7855 am 26. Oktober 2016 geschlossen. In diesem Blog-Beitrag weist Google Security darauf hin, dass die Lücke in Chrome durch den Auto-Updater geschlossen wird (es wird ein geändertes Flash-Modul in Google Chrome geladen).

Bisher offene Sicherheitslücke in Windows …

Der zweite Teil in diesem Blog-Beitrag ist deutlich interessanter. Google Security weist auf eine bisher nicht geschlossene, kritische Sicherheitslücke in Windows hin. Es handelt sich um eine Local Privilege Escalation-Schwachstelle im Windows-Kernel. Diese kann ausgenutzt werden, um aus der einer Sandbox (IE-Sicherheitszonen, Browser-Sandbox, möglicherweise auch Windows-Apps, nach meinem Gefühl zumindest in Win32-UWP-Apps ausnutzbar) auszubrechen.

Die Lücke lässt sich durch einen Systemaufruf der win32k.sys API-Funktion NtSetWindowLongPtr() ausnutzen. Es betrifft den Index-Eintrag GWLP_ID für ein Fenster-Handle, bei dem der Wert GWL_STYLE auf WS_CHILD gesetzt ist. Dann lässt sich die Sicherheitslücke verwenden, um die Local Privilege Escalation-Schwachstelle im Windows-Kernel auszunutzen und dem Schadprogramm erhöhte Rechte einzuräumen.

Für Endanwender klingt das erst einmal reichlich esoterisch, wer weiß schon, was ein Index-Eintrag GWLP_ID für ein Fenster-Handle ist – für die Details muss ich selbst nachschauen. Aber: Die Zero-Day-Exploit-Schwachstelle existiert und ließe sich wohl in einem Browser ausnutzen (bzw. wird laut Google aktiv ausgenutzt). Und bisher hat Microsoft die Schwachstelle nicht geschlossen – dürfte ggf. am nächsten Patchday passieren. Oder ggf. mit einem Sonder-Update (heute oder die Tage), nachdem Google den Zero-Day-Exploit nach einer Stillhaltefrist von 7 Tagen öffentlich gemacht hat.

Für Windows-Nutzer heißt das – nach meiner Interpretation – erst einmal keine ungepatchten Browser (IE, Edge) mehr zum Surfen im Web verwenden. Google hat seinen Chrome Browser für Windows so ertüchtigt, dass der Zero-Day-Exploit in Windows nicht mehr im Browser ausgenutzt werden kann. Dazu blockt die Sandbox im Google Chrome-Browser alle win32k.sys-Systemaufrufe.


Werbung

Verwendet wird eine von Google als Chromium Win32k system call lockdown (Win32k lockdown) bezeichnete Technik. Die dahinter stehende Technologie kann ab Windows 8 verwendet werden, um win32k.sys-Systemaufrufe zu blockieren. Was mich stutzig macht: Das Ganze bezieht sich laut Google explizit auf Windows 10 (ich interpretiere das so, dass die Lücke nur dort ausnutzbar ist).

Jedenfalls verhindert ein Chrome-Update unter Windows 10, dass die Sicherheitslücke zum Verlassen der Browser-Sandbox ausgenutzt werden kann. Es ist eine merkwürdige Sache, dass Google Techniken anwenden muss, um auf Windows Sicherheitslücken zu reagieren, die Microsoft noch nicht geschlossen hat. Das kann noch lustig werden und Googles Project Zero zieht die Daumenschrauben bezüglich Zero-Day-Exploits und deren Offenlegung möglicherweise an. Oder wie seht ihr das so?

Nachtrag: Weitere Vermutungen und ein Microsoft-Statement

Bei VentureBeat hat man eine Stellungnahmen von Microsoft zum betreffenden Exploit herausgegeben:

“We believe in coordinated vulnerability disclosure, and today’s disclosure by Google puts customers at potential risk,” a Microsoft spokesperson told VentureBeat. “Windows is the only platform with a customer commitment to investigate reported security issues and proactively update impacted devices as soon as possible. We recommend customers use Windows 10 and the Microsoft Edge browser for the best protection.”

Na ja, wenn Google schreibt, dass die Schwachstelle bereits aktiv ausgenutzt ist, kann man diese Stellungnahme gleich in den Papierkorb klopfen. Bei VentureBeat findet sich aber auch ein Hinweis von Quellen “aus dem Umfeld von Google”. Diese geben an, dass ein ungepatchtes Flash Plugin in Windows 10 erforderlich sei, um die Lücke auszunutzen. Diese wurde aber von Microsoft gepatcht. Allerdings ist davon auszugehen, dass auch andere Angriffsmethoden entwickelt werden oder bereits verfügbar sind. Aus diesem Blickwinkel warten wir auf den Patch von Microsoft.

Nachtrag 2: Julia hat im Kommentarbereich auf einen Technet-Artikel zum Thema hingewiesen. Ich habe die Infos im Beitrag Neues zum Windows win32k.sys-Zero-Day-Exploit CVE-2016-7855 aufbereitet.

Ähnliche Artikel:
Adobe Flash: Notfall-Patch 26.10.2016
Microsoft Flash-Sicherheits-Update 27.10.2016 für Windows
Neues zum Windows win32k.sys-Zero-Day-Exploit CVE-2016-7855


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows, Windows 10 abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Responses to Google Chrome schließt Sicherheitslücken (auch einen ungepatchten Windows-Zero-Day-Exploit)

  1. Herr IngoW sagt:

    Ich glaube “Google” will sich mal wieder wichtig machen um seinen eigenen schnüffel-Browser zu Bewerben, um an noch mehr Daten zu kommen.
    Wenn ein ungepatchtes Flash Plugin in Windows 10 erforderlich ist hat MS das Problem ja wohl im großen und Ganzen behoben, der Rest wird hoffentlich dann auch bald gepatcht.
    Davon abgesehen sollte man Flash sowieso deaktivieren!

  2. deo sagt:

    Google wird ja mittlerweile auf über 50% aller Desktop Systeme genutzt und da können sie schon eine größere Verantwortung übernehmen, während der Anteil vom IE 11 unweigerlich schwindet und Edge eine Totgeburt ist.
    MS schafft es nur durch Zwangsnutzung von Bing in Cortana und der Windows Onlinesuche, um nicht in der Bedeutungslosigkeit zu verschwinden.
    Da kann Google auch nicht anders als MS zu zeigen, wie richtig gepatched wird.
    Sie wollen ja auch nicht in den Ruf kommen, ihre Dienste laufen in verseuchten Windows Umgebungen.
    Auf gut Deutsch gesagt, MS braucht mal jemand mächtigen, der ihnen in den Allerwertesten tritt. Das kann wohl auch nur Google.

  3. JohnRipper sagt:

    Bitte zukünftig wenn möglich die Version dazumehmen. danke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.