Chromium V8

Die Schwachstelle steckt in V8, der JavaScript-Engine des Chromium-Projekts, die in zahlreichen Browsern für die Ausführung von Skripten zuständig ist. Es handelt sich um einen Lese- und Schreibzugriff außerhalb der vorgesehenen Speichergrenzen: Die Engine greift beim Verarbeiten von Skripten auf Speicherbereiche zu, die außerhalb des zulässigen Bereichs liegen. Ein Angreifer kann dies aus der Ferne auslösen, indem er sein Opfer dazu bringt, eine eigens präparierte HTML-Seite zu öffnen – ein Besuch der Seite genügt. Über den fehlerhaften Speicherzugriff lässt sich der Heap-Speicher gezielt verfälschen (Heap Corruption), was einem Angreifer einen Weg eröffnet, eigenen Code einzuschleusen und auszuführen. Betroffen ist nicht nur Google Chrome, sondern eine Vielzahl von Browsern, die auf Chromium aufbauen, darunter auch Microsoft Edge und Opera. Der Angriff erfordert keine Anmeldung, sondern allein das Öffnen einer manipulierten Webseite.