Das Team der
Microsoft Offensive Security Research hat ein Sicherheitsproblem im
Google Chrome Browser aufgedeckt und beschreibt diese Lücke unter
CVE-2017-5121. Schadcodes konnten offenbar die Same-Origin-Policy umgehen und Angreifern unter Umständen Zugriff auf Online-Services, auf die der Anwender mit dem Browser zugreift, gestatten. Dies betrifft etwa Mails, Dokumente oder Bankgeschäfte.
Es dauerte vier Tage nach Eingang der ersten Microsoft-Hinweise, und Google veröffentlichte einen Patch, der über das Update-System von Chrome ausgespielt wurde und die Lücke wieder schloss. Überdies gab es 16’000 Dollar Belohnung über das Google Bug-Bounty-Programm für die Entdecker. Die Summe wurde Microsoft zufolge einem wohltätigen Zweck zugeführt.
Kritik gibt es von den Microsoft-Entwicklern allerdings an der Vorgehensweise, wie Google die Beseitigung der Schwachstelle anging. Die Korrektur des Fehlers fand zwar innerhalb weniger Tage statt. Allerdings hatte Google den Code für den Patch zuerst auf Github veröffentlicht, um dann erst weitere drei Tage später ein offizielles Update für Chrome zu veröffentlichen. Die Spezialisten zeigten auf, dass Hacker währenddessen aufgrund dieser Information Angriffe hätten durchführen können.
(rpg)
