Die Schwachstelle steckt in der WebGL-Komponente von Google Chrome auf Android. WebGL ist die Browserfunktion zur hardwarebeschleunigten Darstellung von 3D-Grafik im Webinhalt. Es handelt sich um einen Use-after-free-Fehler: Der Browser greift auf einen Speicherbereich zu, der bereits freigegeben wurde, sodass dieser inzwischen mit anderem, vom Angreifer kontrolliertem Inhalt belegt sein kann. Ausgelöst wird der Defekt aus der Ferne über eine eigens präparierte HTML-Seite – das bloße Aufrufen einer solchen Seite genügt, eine zusätzliche Interaktion des Opfers ist nicht erforderlich. Gelingt die Ausnutzung, kann der Angreifer aus der Sandbox ausbrechen, also aus der abgeschotteten Umgebung, in der der Browser Webinhalte vom übrigen System trennt. Damit fällt eine zentrale Schutzbarriere, und der Angreifer kann über die Grenzen des Browsers hinaus auf das Gerät einwirken. Betroffen sind Nutzer von Chrome auf Android-Geräten.