Update für den Chrome-Browser schließt aktiv ausgenutzte Lücke
Chrome 86.0.4240.111 für Windows, macOS & Linux schließt unter anderem eine "High"-Lücke, die von der FreeType-Bibliothek (vor v2.10.4) eingeschleust wurde.
Die Chrome-Entwickler haben die stabile Version des Webbrowsers für Windows, macOS und Linux auf Version 86.0.4240.111 angehoben. Die neue Version schließt fünf Sicherheitslücken – vier von ihnen stellen nach Einschätzung der Entwickler ein hohes Sicherheitsrisiko für Nutzer dar. Von diesen Lücken wiederum wird eine laut Googles Project Zero bereits aktiv von Angreifern ausgenutzt. Nutzer sollten deshalb Ausschau nach dem Update halten, das in den kommenden Tagen und Wochen verteilt werden soll.
Sicherheitslücke in FreeType geschlossen
Wie gewohnt haben die Entwickler jene Security-Fixes in einem aktuellen Blogeintrag zum Chrome Stable Channel Update dokumentiert, die von externen Sicherheitsforschern entdeckt und gemeldet wurden. Mit Details zu den Lücken CVE-2020-16000 in der Blink Browser-Engine, CVE-2020-16001 ("Use after free in media"), CVE-2020-16002 in PDFium, CVE-2020-15999 in FreeType sowie zur einzigen "Medium"-Lücke CVE-2020-16003 ("Use after free in printing") hält sich der Blogeintrag wie üblich zurück: Zugriff auf Bug-Details gibt es erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden.
Via CVE-2020-15999 in der Programmbibliothek FreeType finden solche Angriffe allerdings wohl schon statt. Via Twitter teilte Project Zero-Mitarbeiter Ben Hawkes mit, dass die Chrome-Entwickler schnell auf die Warnung des Teams reagiert hätten. Der Fix sei auch schon in FreeType eingeflossen: Die neue, abgesicherte Version 2.10.4 ist seit Kurzem verfügbar und sollte von Entwicklern im Rahmen ihrer Projekte verwendet oder aktualisiert werden.
Details zur Angriffsstrategie oder Hinweise, wie sich Nutzer verwundbarer Browser-Versionen schützen können, nannte Hawkes nicht.
Edge-Update steht noch aus
Sicherheitsupdates für den Chromium-basierten Edge folgen häufig unmittelbar auf die Chrome-Updates. Derzeit hat Microsoft aber noch nichts veröffentlicht. Edge-Nutzer sollten die Release Notes für Edge Security Updates sowie Microsofts Security Advisory zu den Chromium Security Updates im Auge behalten.
(ovw)
