Chromium Blink

Die Schwachstelle betrifft Blink, die Rendering-Engine des Chromium-Projekts von Google, die für die Darstellung von Webseiten zuständig ist. Es handelt sich um einen sogenannten Use-after-free-Fehler: Das Programm greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Ein Angreifer aus der Ferne kann dies über eine präparierte HTML-Seite auslösen – also schlicht dadurch, dass ein Nutzer eine entsprechend manipulierte Webseite öffnet. Dabei lässt sich der Speicher im Heap gezielt durcheinanderbringen (Heap-Korruption), was im Ergebnis zur Ausführung von eingeschleustem Code führen kann. Brisant ist die breite Wirkung: Da zahlreiche Browser auf Chromium aufbauen, sind nicht nur Google Chrome, sondern auch Microsoft Edge, Opera und weitere darauf basierende Browser betroffen. Der Angriff erfordert keine besonderen Rechte, sondern allein, dass das Opfer eine vom Angreifer kontrollierte Seite ansteuert.