Webbrowser: Google Chrome 114 schließt 16 Lücken und verbessert Sicherheit
Neben den üblichen geschlossenen Sicherheitslücken, derer 16 an der Zahl, liefert Google Chrome 114 auch teils neue oder verbesserte Sicherheitsfunktionen.
Google hat den Webbrowser Chrome wie geplant in Version 114 herausgegeben. Die neue Version schließt insgesamt 16 teils hochriskante Sicherheitslücken. Zudem wurden einige Sicherheitsfunktionen hinzugefügt oder verbessert.
Von den 16 ausgebesserten Schwachstellen gelten acht als hohes Risiko, vier als mittleres und eine als niedriges. Zu drei Lücken liefert Google keinerlei Informationen, weil sie offenbar intern entdeckt wurden.
Google Chrome: Hochriskante Sicherheitslücken
Anhand der ausgezahlten Belohnung für die Melder der Lücken ist eine Schwachstelle in der Swiftshader-Komponente am schwerwiegendsten, durch die Angreifer einen Schreibzugriff außerhalb des vorgesehenen Speicherbereichs auslösen können (CVE-2023-2929, noch kein CVSS, Risiko "hoch"). In "Extensions" können auf Ressourcen nach ihrer Freigabe erneut zugegriffen werden, die Komponente enthält eine Use-after-free-Lücke (CVE-2023-2930, kein CVSS, hoch).
Der integrierte PDF-Reader ist gleich von drei solcher Use-after-free-Schwachstellen betroffen (CVE-2023-2931, CVE-2023-2932, CVE-2023-2933, ohne CVSS, hoch). Auch in der Javascript-Engine V8 können Angreifer Sicherheitslücken missbrauchen, die auf Type-Confusion-Fehlern beruhen. Dabei passen übergebene Datentypen nicht zu den vorgesehenen, was im schlimmsten Fall zur Ausführung von untergeschobenem Code führen kann (CVE-2023-2935, CVE-2023-2936, kein CVSS, hoch).
Weitere Änderungen in Chrome 114
In den Release-Notes für die Enterprise- und Education-Version von Chrome finden sich noch weitere Hinweise auf sicherheitsrelevante Änderungen. Unter Mac und Windows ist es bereits Standard, für Android, ChromeOS und Linux stellen die Entwickler das jetzt um: Der Zertifikat-Root-Store wandert in den Browser, ebenso wie die Zertifikatsverifizierung. Bis Chrome 120 sollen Administratoren und Nutzer das mit der ChromeRootStoreEnabled-Richtlinie deaktivieren können. In den Mac- und Windows-Versionen wurde die Richtlinie bereits mit Version 113 entfernt.
Eigentlich sollte auch die Unterstützung für Private State Tokens Einzug halten. Die sollen den Einsatz von Captchas deutlich reduzieren, indem einmal erworbenes Vertrauen in die Menschlichkeit der Nutzer von einem Kontext in einen anderen mitgenommen werden kann. Das positive Ergebnis eines Captcha-Tests können nachfolgend aufgerufenen Seiten nutzen, sofern diese der ausstellenden Seite vertraut. Dazu soll in den Chrome-Einstellungen unter Datenschutz & Sicherheit – Webseite-Einstellungen – Zusätzliche Inhaltseinstellungen die Option Auto-verify verfügbar sein. Da die Einstellung jedoch nicht vorhanden ist, hat es die Funktion offenbar doch noch nicht in die veröffentlichte Chrome-Version geschafft.
Den Passwort-Manager benennt Google jetzt in Google Passwort Manager um. Er erhält zudem weitere Verbesserungen. Er soll gleichartige Passwörter gruppieren, einen verbesserten Kontrollfluss haben und Nutzer sollen eine Verknüpfung auf dem Desktop zum Password Manager hinzufügen können.
Sofern Safe Browsing in Chrome aktiviert wurde, entpackt der Browser beim Download-Schutz jetzt auch verschachtelte Archive. Das soll den Schutz vor Malware und unerwünschter Software verbessern. Google verspricht verbesserten Schutz insbesondere vor Cookie-stehlender Malware, die oft auf diese Technik setze.
Aktuellen Versionsstand prüfen
Die neuen Versionsstände lauten aktuell Chrome 114.0.5735.57/.58 für Android, 114.0.5735.50 für iOS, 114.0.5735.90 für Linux und Mac sowie 114.0.5735.90/91 für Windows. Die "Extended Stable"-Fassung landet bei 114.0.5735.90 für Mac und 114.0.5735.91 für Windows.
Durch das Aufrufen der Chrome-Einstellungen mit Klick auf das Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adressleiste, weiter über Hilfe – Über Google Chrome öffnet sich der Versionsdialog. Darin zeigt der Browser die aktuell laufende Version an, startet gegebenenfalls den Update-Vorgang und fordert Nutzer schließlich zum Neustart auf.
(Bild: Screenshot / dmk)
Unter Linux zeichnet für gewöhnlich die Distributions-eigene Software-Verwaltung für Aktualisierungen verantwortlich. Unter dem Betriebssystem sollten Nutzer daher diese einmal anwerfen und nach Updates suchen lassen.
Da die Lücken auch im Chromium-Code stecken, auf dem Google Chrome basiert, dürften in Kürze andere darauf fußende Webbrowser wie Microsoft Edge mit Aktualisierungen nachziehen. Die Nutzer dieser Browser sollten die Updates zügig anwenden.
Zuletzt hatte Google vor zwei Wochen ein Chrome-Update veröffentlicht. Darin schlossen die Entwickler mindestens eine kritische Sicherheitslücke.
Siehe auch:
- Google Chrome bei heise Download
(dmk)
