Google Chrome: Sicherheitslücke im PDF-Reader

Googles Chrome-Browser verfügt seit Jahren über einen integrierten PDF-Reader, und das aus guten Gründen: Einerseits muss der Nutzer nicht mehr zwingend die Adobe-Software installiert haben und andererseits hat man so die Updates selbst im Griff. In diesem integrierten Reader ist nun allerdings eine schwere Sicherheitslücke entdeckt worden, worüber ein Angreifer die volle Kontrolle über den PC des Nutzers übernehmen konnte. Der Bug wurde inzwischen behoben.

Da der Adobe Reader über Jahre eher als offenes Scheunentor mit unendlichen Bugs statt als praktisches Tool bekannt war, ging Google dazu über, eine eigene Variante zu verwenden und so potenziell die Sicherheitslücken zu umgehen. Ausgerechnet in dieser Komponente ist einem Sicherheitsforscher von Cisco jedoch eine Lücke aufgefallen, die weitreichende Konsequenzen haben könnte.

Der Sicherheitsforscher Aleksandar Nikolic entdeckte die Lücke in der PDF-Komponente von Chrome, die von der OS-Software PDFium gestellt wird. Diese enthielt einen Bug bei der Verarbeitung von Bild-Dateien im JPEG2000-Format. Durch eine im PDF-Dokument eingebettete und manipulierte Bild-Datei konnte ein Buffer Overflow ausgelöst werden, mit dem ein beliebiger Code auszuführen war. Mit vollen Berechtigungen wurde dieser Code außerhalb des Chrome-Browsers ausgeführt und so ein Zugriff auf das komplette System ermöglicht.

Das Problem liegt nicht im Chrome-Browser selbst, sondern in der Bild-Komponente des verwendeten PDF-Readers. Dieser verwendet die Open Source-Bibliothek OpenJPEG, in der der Fehler enthalten ist. Da diese Bibliothek möglicherweise auch in vielen anderen Projekten zum Einsatz kommt, könnte der Fehler noch in weiteren Apps stecken; derzeit ist allerdings nichts in dieser Richtung bekannt.

Googles Entwickler haben die Lücke kurz nach der Meldung über das Bug Bounty-Programm geschlossen und nach nur 6 Tagen ein Update ausgerollt. Der Forscher erhielt seine Prämie von 3.000 Dollar und nach dem Rollout des Updates wurde der Fehler nun unter der Kennung CVE-2016-1681 veröffentlicht. Ob die Lücke jemals ausgenutzt wurde, ist nicht bekannt. Spätestens jetzt könnten jedoch einige Exploits in Umlauf geraten, die ggf. auch in anderen Browsern und Apps funktionieren.

Im Chrome-Browser ist die Lücke ab der Version 51.0.2704.63 behoben, jeder sollte also im Idealfall eine höhere Versionsnummer installiert haben. Sollte das noch nicht der Fall sein, muss der Browser zur Installation des Updates nur neu gestartet werden. Die aktuelle Versionsnummer lässt sich ganz einfach unter der URL chrome://help abrufen.