Erneutes Nachbessern bei Chrome: Google schließt zwei aktiv ausgenutzte Lücken

Auf das Chrome-Sicherheitsupdate vom 9. November hat Google am gestrigen Mittwoch gleich ein weiteres folgen lassen. Es beseitigt zwei Sicherheitslücken aus den Browser-Ausgaben für Windows, Linux und macOS, die bereits aktiv ausgenutzt werden. Anwender sollten sicherstellen, dass auf ihrem System zeitnah die abgesicherte Version 86.0.4240.198 eingespielt wird. Das Chrome-Team will sie in den kommenden Tagen und Wochen verfügbar machen.

Übrigens steht auch für den Chromium-basierten Edge ein Update bereit, das vorerst allerdings nur die zum 9. November aus Chrome beseitigte Lücke schließt:

Exploits in freier Wildbahn

Wie gewohnt enthält die von Google veröffentlichte Release-Ankündigung zur neuen Chrome-Version nur wenige Informationen über die Lücken. Öffentlichen Zugriff auf die Bugtracker-Einträge gibt es erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden.

Beide Sicherheitslücken (CVE-2020-16013 / " Inappropriate implementation in V8", CVE-2020-16017 / "Use after free in site isolation") wurden gemäß CVSS mit "High" bewertet. Laut Google existieren Exploits in freier Wildbahn; Details zur Vorgehensweise oder zum Umfang aktiver Angriffe nennt das Unternehmen aber nicht.

Chrome derzeit häufig im Fokus von Angreifern

Die Frequenz, mit der Google gegen aktiv ausgenutzte (vormalige) "Zero-Days" nachbessern muss, ist derzeit auffallend hoch.

So berichteten wir erst Anfang vergangener Woche über versuchte Sandbox-Ausbrüche und Schadcode-Infektionen mittels zweier Sicherheitslücken. Zuvor wurde Ende Oktober eine "High"-Lücke in der FreeType-Bibliothek attackiert. Anwender sollten somit besonders aufmerksam nach neuen Versionen Ausschau halten und diese jeweils zeitnah installieren.

• Google Chrome aktualisieren – so geht's

(ovw)