Chromium Skia

Die Schwachstelle liegt in Skia, der Grafikbibliothek zum Rendern von Inhalten in Google Chrome. Ein ganzzahliger Überlauf (Integer Overflow) in dieser Komponente lässt sich über eine eigens präparierte HTML-Seite auslösen. Ausnutzbar ist der Fehler aus der Ferne, allerdings nicht als alleiniger Einstiegspunkt: Voraussetzung ist, dass der Angreifer bereits den Renderer-Prozess des Browsers unter seine Kontrolle gebracht hat. Von dort aus kann er über die Lücke aus der Sandbox ausbrechen – jenem Schutzmechanismus, der Webinhalte vom restlichen System abschottet. Gelingt dieser Ausbruch, erweitert der Angreifer seinen Zugriff vom isolierten Browserbereich auf das darunterliegende System. Betroffen ist nicht nur Chrome selbst, sondern auch ChromeOS, Android, das Entwicklungs-Framework Flutter sowie möglicherweise weitere Produkte, die auf dieselbe Grafikbibliothek zurückgreifen. Damit reicht die Angriffsfläche über den klassischen Desktop-Browser deutlich hinaus.