Google Chrome: Kritische Schwachstelle bedroht Browser-Nutzer
In Chrome haben Googles Entwickler sieben Sicherheitslücken abgedichtet. Mindestens eine davon stellt ein kritisches Risiko dar.
Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Sieben Schwachstellen haben Googles Programmierer im Webbrowser Chrome abgedichtet. Mindestens eine davon stufen sie als kritisches Risiko ein. Wer Chrome einsetzt, sollte daher rasch sicherstellen, den aktuellen Softwarestand zu nutzen. Chrome ist ab jetzt zudem als optimierte Version für Windows on Arm verfügbar.
In der Versionsankündigung geben die Google-Entwickler Hinweise zu vier der sieben Sicherheitslücken. Drei wurden offenbar intern aufgespürt, sodass Google Informationen dazu vorerst vollständig zurückhält. Von den vier extern gefundenen Sicherheitslecks stufen die Entwickler eine als kritisches und drei als hohes Risiko ein.
Chrome: Hinweise zu vier von sieben Lecks
Eine Use-after-free-Lücke betrifft die Angle-Komponente von Chrome, die als WebGL-Engine dient. Dabei nutzt der Programmcode Ressourcen, nachdem diese bereits freigegeben wurden. Das ermöglicht Zugriffe auf Speicherbereiche mit undefinierten Inhalten und lässt sich oft zum Einschmuggeln und Ausführen von Schadcode missbrauchen. Dies scheint kaum Benutzerinteraktion zu erfordern und sich sehr leicht etwa mit manipulierten Webseiten missbrauchen zu lassen, was Google zur Einstufung des Bedrohungsgrads als kritisch veranlasst (CVE-2024-2883, kein CVSS-Wert, Risiko "kritisch").
Zwei weitere Use-after-free-Schwachstellen betreffen die Komponente Dawn (CVE-2024-2885, kein CVSS-Wert, hoch) und WebCodecs (CVE-2024-2886, kein CVSS-Wert, hoch). In WebAssembly kann hingegen eine Type Confusion auftreten, bei der zu verarbeitende Datentypen nicht zu denen im Programmcode passen, was ebenfalls potenziell unbefugte Zugriffe auf Speicherbereiche ermöglicht (CVE-2024-2887, kein CVSS-Wert, hoch).
Die Versionen, die die Sicherheitslücken gestopft haben, lauten Google Chrome 123.0.6312.80 für Android, 123.0.6312.86 für Linux sowie 123.0.6312.86/.87 für macOS und Windows. Die Extemded Stable-Fassung ist noch immer im 122er-Versionszweig unterwegs, dort ist nun 122.0.6261.148 unter macOS und Windows aktuell.
Versions-Check
Ob bereits die aktuelle Fassung auf dem Rechner aktiv ist, lässt sich mit dem Versionsdialog von Chrome herausfinden. Der lässt sich durch einen Klick auf das Einstellungsmenü öffnen, das sich hinter dem Smybol mit den drei vertikal gestapelten Punkten rechts von der Adressleiste befindet. Dort ist er unter "Hilfe" – "Über Google Chrome" zu finden.
(Bild: Screenshot / dmk)
Der Versionsdialog zeigt die aktuell laufende Fassung an und startet bei Verfügbarkeit den Update-Prozess. An dessen Ende fordert der Dialog zum nötigen Browser-Neustart auf. Unter Linux sorgt die Distributrions-eigene Softwareverwaltung für die Aktualisierung und sollte daher gestartet werden. Android-Nutzer können im Play-Store nachschauen, ob ein Update for Chrome bereitsteht, falls es noch nicht automatisch installiert wurde. Da andere Webbrowser wie Microsofts Edge auf Chromium basieren, dürfte in Kürze auch dafür ein Update bereitstehen.
Chrome für Windows on Arm
Google hat neben den Updates auch eine optimierte Version von Chrome für Windows on Arm veröffentlicht. Sie bedient Arm-kompatible Windows-PCs "powered by Snapdragon", wie das Unternehmen in einem Blog-Beitrag ankündigt.
In der vergangenen Woche hat Google sogar zwölf Schwachstellen in Chromium ausgebessert. Davon galt mindestens eine als hochriskant.
(dmk)
