Zitat:

Google hat Chrome in Version 2.0.172.37 vorgelegt, um einen Heap Overflow in der JavaScript-Engine bei der Verarbeitung präparierter regulärer Ausdrücke zu beseitigen. Laut Google könnte ein Angreifer über eine Webseite Code in das System schleusen und starten – allerdings nur in der Sandbox des Browsers. Eine detaillierte Beschreibung der Lücke ist noch nicht freigegeben, da der Hersteller erst warten möchte, bis die Mehrzahl der Anwender die neue Version installiert hat. Das Update geschieht über das in Chrome integrierte Silent Update... Zudem lässt sich ein Speicherfehler im Render-Prozess unter Umständen ausnutzen, um Code einzuschleusen und im Kontext des Anwenders zu starten. Da die Daten nach Angaben von Google aber dafür aus dem Render-Prozess selbst stammen müssen, müsste ein Angreifer diesen zuvor über eine weitere Lücke manipuliert haben. Dennoch stuft der Hersteller das Problem kritischer als den Heap Overflow ein. Eine ähnlich seltsame Lücke hatte Google bereits in Chrome 1.0.154.64 im Mai geschlossen.

Weitere Infos so wie die Quelle





Google will ja demnächst mit einem eigenen Betriebssystem MS den Rang ablaufen, was die Löcher in ihren Produkten anbetrifft sind sie ja schon nah dran MS zu überholen