Chromium WebRTC

Die Schwachstelle steckt in der WebRTC-Komponente von Google Chromium – dem quelloffenen Unterbau, auf dem Google Chrome und zahlreiche weitere Browser aufbauen. WebRTC ermöglicht die Echtzeitkommunikation direkt im Browser, etwa für Audio- und Videoanrufe. Es handelt sich um einen Heap-Pufferüberlauf: Beim Verarbeiten bestimmter Daten schreibt der Browser über die Grenzen des dafür vorgesehenen Speicherbereichs hinaus und beschädigt so den dynamisch verwalteten Speicher (Heap). Ausgelöst wird der Fehler aus der Ferne über eine eigens präparierte HTML-Seite: Ruft das Opfer eine solche Seite auf, kann ein Angreifer die Speicherbeschädigung herbeiführen und unter Umständen für weitergehende Angriffe ausnutzen. Betroffen sind nicht nur Google Chrome, sondern grundsätzlich alle Browser, die auf der WebRTC-Komponente von Chromium aufsetzen. Da der Angriff allein durch den Besuch einer Webseite funktioniert, genügt bereits das Anlocken des Opfers auf eine manipulierte Seite.