Chromium V8

Die Schwachstelle steckt in V8, der JavaScript-Engine des Chromium-Projekts von Google. Es handelt sich um eine Typenverwechslung (Type Confusion): Die Engine behandelt einen Speicherbereich fälschlich als einen anderen Datentyp, als er tatsächlich besitzt. Ein Angreifer kann dies aus der Ferne ausnutzen, indem er das Opfer dazu bringt, eine eigens präparierte HTML-Seite zu öffnen. Beim Verarbeiten des darin enthaltenen JavaScript-Codes lässt sich der Fehler auslösen, sodass der Angreifer beliebigen Code zur Ausführung bringt – allerdings innerhalb der Sandbox des Browsers, also zunächst in dessen abgeschotteter Ausführungsumgebung. Betroffen ist nicht nur Google Chrome selbst, sondern grundsätzlich jeder Browser, der auf Chromium aufbaut, darunter beispielsweise Microsoft Edge und Opera. Da das bloße Aufrufen einer manipulierten Webseite genügt, eignet sich die Lücke gut für breit gestreute Angriffe über kompromittierte oder bösartige Websites.