Die Schwachstelle steckt in der WebGL-Komponente von Google Chrome auf Android. WebGL ist die Browserfunktion, die Webseiten den Zugriff auf die Grafikhardware ermöglicht, um 3D-Inhalte darzustellen. Hier kommt es zu einem Speicherzugriff außerhalb der vorgesehenen Grenzen: Der Code liest oder schreibt an Speicherstellen, die nicht für ihn bestimmt sind. Auslösen lässt sich der Fehler aus der Ferne über eine eigens präparierte HTML-Seite – das Opfer muss diese lediglich im Browser öffnen. Gelingt der Angriff, kann ein entfernter Angreifer aus der Sandbox ausbrechen, also aus der abgeschotteten Umgebung, in der der Browser fremde Webinhalte normalerweise isoliert ausführt. Damit fällt eine zentrale Schutzbarriere, und der Angreifer kann seinen Zugriff über den Browser hinaus auf das darunterliegende System ausweiten. Betroffen sind Nutzer von Google Chrome auf Android-Geräten, die eine vom Angreifer kontrollierte Webseite aufrufen.