WebRTC

Die Schwachstelle liegt in WebRTC, einem quelloffenen Projekt, das Webbrowsern Echtzeitkommunikation für Audio, Video und Datenaustausch ermöglicht. WebRTC ist als Komponente in zahlreiche Browser eingebettet, darunter Google Chrome, aber nicht ausschließlich. Es handelt sich um einen Heap-Pufferüberlauf: Beim Verarbeiten manipulierter Inhalte schreibt die Komponente mehr Daten in einen Speicherbereich des Heaps, als dort vorgesehen ist, und beschädigt dadurch angrenzende Speicherstrukturen. Auslösen lässt sich der Fehler aus der Ferne über eine eigens präparierte HTML-Seite – das Opfer muss diese lediglich in einem verwundbaren Browser öffnen. Über die so erzeugte Speicherbeschädigung kann ein Angreifer eingeschleusten Schadcode zur Ausführung bringen und auf diesem Weg die Kontrolle über den betroffenen Browserprozess erlangen. Betroffen sind alle Webbrowser, die WebRTC einsetzen, weshalb die Lücke weit über ein einzelnes Produkt hinaus wirkt.