Google Chrome: Sandbox-Ausbruch durch bestimmte Gesten möglich
Google hat den Chrome-Webbrowser aktualisiert. Angreifer können Sicherheitslücken zum Ausführen von Schadcode missbrauchen.
Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Mit etwas Verspätung haben Googles Entwickler das wöchentliche Update für den Chrome-Webbrowser veröffentlicht. Insgesamt drei Sicherheitslücken stopfen die Programmierer darin. Alle tragen die Risikoeinstufung "hoch".
Am gravierendsten – basierend auf der Höhe der Belohnung für den Melder, 21.000 US-Dollar – scheint Googles Entwicklern laut der Versionsankündigung ein potenzieller Schreibzugriff außerhalb vorgesehener Grenzen in der Compositing-Komponente. Wesentlich spannender wird die konkrete Beschreibung der Lücke im CVE-Eintrag: Angreifer, die den GPU-Prozess kompromittiert haben (etwa durch eine andere Sicherheitslücke in Chrome), können aus der Sandbox ausbrechen, die das System vor Einbrüchen schützen soll. Und zwar mit nicht konkret erläuterten, bestimmten Gesten in der Bedienoberfläche (CVE-2024-3157, kein CVSS-Wert, Google-Einstufung des Risikos "hoch"). Da kommt manchen sicher eine Werbekampagne in den Sinn: "Mit einem Wisch ist alles weg".
Google Chrome: Codeschmuggel-Lücken im Browser
Zwei weitere Sicherheitslücken brachten den Meldenden jeweils 10.000 US-Dollar Belohnung ein. Ein Heap-basierter Pufferüberlauf in der Angle-Komponente kann zur Ausführung von Schaodcode führen (CVE-2024-3516, kein CVSS-Wert, hoch). Laut CVE-Eintrag gelingt das durch die Anzeige einer manipulierten HTML-Webseite. Zudem hat eine Use-after-free-Lücke im Dawn-Modul ebenfalls Speicherchaos auf dem Heap zur Folge, was Angreifer ebenfalls mit sorgsam präparierten Webseiten provozieren und dadurch Schadcode einschleusen und ausführen können (CVE-2024-3515, kein CVSS-Wert, hoch).
Die sicherheitsrelevanten Fehler bügeln die Versionen Chrome für Android 123.0.6312.118, 123.0.6312.122 für Linux, 123.0.6312.122/.123/.124 für Mac sowie 123.0.6312.122/.123 für Windows aus.
Alles auf neuem Stand?
Ob die aktuelle Version bereits aktiv ist, zeigt der Versionsdialog des Webbrowsers an. Der lässt sich durch Klick auf das Einstellungsmenü (verbirgt sich hinter dem Icon mit den drei vertikal gestapelten Punkten rechts von der Adressleiste) und dort weiter über "Hilfe" – "Über Google Chrome" öffnen. Gegebenfalls startet das dann den Aktualisierungsvorgang.
(Bild: Screenshot / dmk)
Unter Linux ist in der Regel die Softwareverwaltung der Distribution für die Aktualisierung von Chrome verantwortlich und sollte daher gestartet und zur Update-Suche bemüht werden. Da andere auf dem Chromium-Projekt basierenden Browser wie Microsofts Edge ebenfalls von den Fehlern betroffen sind, dürfte für diese in Kürze auch ein Update bereitstehen.
In der vergangenen Woche hatte Google ebenfalls drei Sicherheitslücken in Chrome abgedichtet. Wesentlich spannender war hingegen die gleichzeitige Ankündigung, dass die Entwickler an einer Funktion arbeiten, die Session-Cookie-Klau sinnlos machen soll. Mit Device Bound Session Credentials (DBSC) werden mit einem an Passkeys erinnernden Mechanismus authentifizierte Sitzungen (authentication sessions) dadurch an das Gerät gebunden.
(dmk)
