Webbrowser Google Chrome: Elf Sicherheitslücken gestopft
Der Webbrowser Chrome schließt in aktueller Version für Linux, Mac und Windows elf Sicherheitslücken. Durch einige könnten Angreifer vermutlich Code ausführen.
Google hat Version 100.0.4896.88 des Webbrowsers Chrome für Linux, Mac und Windows veröffentlicht und schließt darin elf Sicherheitslücken. Vermutlich könnten Angreifer etwa beim Besuch manipulierter Webseiten durch die Schwachstellen Schadcode einschleusen und ausführen.
Details?
Wie üblich veröffentlicht Google noch keine näheren Informationen zu den Schwachstellen, um Administratoren und Nutzern Zeit für die Aktualisierung zu verschaffen. Mit solchen Informationen könnten Angreifer sonst schneller Exploits entwickeln, die die Sicherheitslücke ausnutzen.
Allerdings lässt sich der Release-Meldung von Google entnehmen, dass einige der Lücken etwa von der Art "Use-after-free" sind. Dabei verwendet der Programmcode Zeiger oder Speicherbereiche, nachdem sie eigentlich freigegeben wurden. Damit ist undefiniert, was dort im Speicher liegt, aber Angreifer können oftmals eigenen Code dort ablegen, der dadurch ausgeführt wird. Mindestens acht der Sicherheitslücken stuft Google als hohes Risiko ein, sodass potenzieller Codeschmuggel durch sie wahrscheinlich ist.
Versionsstand prüfen
Google will das Update in den kommenden Tagen automatisch verteilen. Damit Angreifer die Schwachstellen in der Zwischenzeit nicht ausnutzen können, sollten Nutzer jedoch einmal kurz selber prüfen, ob der Chrome-Browser auf dem aktuellen Stand ist.
(Bild: Screenshot)
Durch Klick auf das Symbol mit den drei vertikal aufgereihten Punkten oben rechts neben der Adressleiste können Google-Chrome-Nutzer das Einstellungs-Menü aufrufen. Dort finden sie unter "Hilfe" – "Über Google Chrome" dann den Dialog mit der aktuellen installierten Version. Ist ein Update verfügbar, stößt dies gegebenenfalls das Herunterladen und die Installation an. Danach muss noch ein Neustart des Webbrowsers erfolgen. In Linux-Distributionen müssen Administratoren in der Regel dafür die Aktualisierungsfunktion der Paketverwaltung einmal anwerfen.
Erst vor genau einer Woche hatte Google ein Chrome-Update veröffentlichen müssen, das lediglich eine Sicherheitslücke geschlossen hatte. Da Komponenten von den jetzt geschlossenen Sicherheitslücken betroffen sind, die wie die JavaScript-Engine V8 auch Teil des quelloffenen Chromium-Projekts sind, dürften darauf basierende Webbrowser wie Microsoft Edge in Kürze ebenfalls Aktualisierungen erhalten.
Siehe auch:
- Google Chrome bei heise Download
(dmk)
