Bei so genannten Zero-Day-Exploits handelt es sich um Angriffe oder Schwachstellen mit brandneuem, noch nie zuvor gesehenem Code, der bösartige Dinge auf dem eigenen Computer anrichten kann. Oftmals sind zu dem Zeitpunkt, an dem sie bekannt gegeben und/oder entdeckt werden, bereits Patches veröffentlicht worden, um sie zu entschärfen. Dies scheint bei der neuesten Zero-Day-Sicherheitslücke in Chrome der Fall zu sein.
Thom Langford, Security Advocate bei SentinelOne
Die offizielle Ankündigung von Google verrät nur wenige Details und ist eigentlich schon gepatcht – bei Verwendung der Version 91.0.4472.114 ist der Browser bereits sicher vor der Sicherheitslücke.
Es gibt jedoch zwei Probleme, die sich aus dieser Situation ergeben. Erstens liegt die Anzahl der Geräte, die den Google Chrome-Browser verwenden, bei etwa 2 Milliarden. Die Wahrscheinlichkeit, dass jedes einzelne dieser Geräte gepatcht wird, ist also extrem gering. Je nachdem, wie der Zero-Day ausgenutzt werden kann, könnte es eine riesige Anzahl von Computern und anderen Geräten geben, die jederzeit mithilfe von Malware kompromittiert werden könnten, was in der Regel zu weiteren Schäden in der Umgebung dieser Computer führt.
Ohne die vollständigen Details des Zero-Day zu kennen, könnte es sich um eine Schwachstelle handeln, die in der Praxis wenig bis gar keine Auswirkungen hat. Das meiste, was wir davon hören werden, ist der ursprüngliche Google-Blogbeitrag und Reaktionen auf den Vorfall von Sicherheitsexperten.
Tatsächlich sollten sich Nutzer, die auch nur ein grundlegendes Maß an Hygiene auf ihren Computern aufrechterhalten und diese sogar halbwegs regelmäßig aktualisieren, mehr Sorgen darüber machen, was Google mit den Daten macht, die es aus den Surfgewohnheiten der Nutzer sammelt, als über eine Zero-Day-Schwachstelle, die (derzeit) keine bekannten Folgen hat.
Autor: Thom Langford, Security Advocate bei SentinelOne