Webbrowser: Chrome-Update dichtet sieben Sicherheitslücken ab
Im Webbrowser Chrome finden sich mehrere Sicherheitslücken mit dem Schweregrad "hoch". Google schließt sie mit aktualisierten Versionen des Browsers.
Google hat die Version 102.0.5005.115 vom Webbrowser Chrome für Linux, Mac und Windows veröffentlicht. Darin beheben die Entwickler des Unternehmens insgesamt sieben Sicherheitslücken. Mindestens vier davon stufen sie als hohes Risiko ein. Den Browser aus dem Extended-Stable-Channel für Mac und Windows hievt Google ebenfalls auf diesen Stand.
Wie üblich will das Unternehmen Nutzer des Browsers vor Angriffen auf die Schwachstellen schützen, indem es Details dazu eine Zeit lang zurückhält. Andeutungen machen die Programmierer daher nur zu vier Sicherheitslücken, die von externen IT-Sicherheitsforschern gemeldet wurden.
Chrome-Lücken könnten Codeschmuggel erlauben
Aufgrund der ausgelobten Bug-Bounty-Summen, die Google in den Releasenotes zu den Lücken angibt, erlauben einige der Schwachstellen Angreifern wahrscheinlich das Unterschieben von Schadcode. So vergibt das Unternehmen für eine gemeldete Use-after-free-Lücke in WebGPU 10.000 US-Dollar Belohnung (CVE-2022-2007).
Eine Use-after-free-Schwachstelle tritt auf, wenn der Programmcode fälschlicherweise Zeiger oder Speicherbereiche nutzt, die bereits wieder freigegeben wurden. Dadurch enthält der Speicher oder Zeiger keinen definierten Inhalt. Dies führt mindestens zum Absturz der Software. Oftmals lässt sich so ein Fehler jedoch sogar zum Ausführen von untergejubelten Schadcode missbrauchen.
Einen solchen Fehler haben die Programmierer auch in der Grafik-Abstraktionsschicht ANGLE behoben (CVE-2022-2011). Die weiteren Sicherheitslücken mit hohem Schweregrad umfassen einen Speicherzugriff außerhalb der eigentlichen Grenzen in WebGL (CVE-2022-2008) sowie ein Lesezugriff außerhalb der Grenzen der Komponente Compositing (CVE-2022-2010).
Chrome-Aktualisierung forcieren
Zur Prüfung, ob bereits die aktuelle Version des Webbrowsers installiert ist, klicken Chrome-Nutzerinnen und -Nutzer oben rechts im Programm auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei Punkten verbirgt. Unter "Hilfe" findet sich der Menüpunkt "Über Google Chrome". Nach dem Klick darauf öffnet sich ein Dialog, der entweder die aktuelle Version anzeigt oder im Falle einer veralteten Version den Download und die Installation der neuen Fassung anstößt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Linux-Nutzer sind in der Regel auf Paketaktualisierungen ihrer Distribution angewiesen, sodass diese mit der Paketverwaltung ihres Systems nach Updates suchen sollten. Da Google Chrome auf dem Chromium-Projekt basiert, dürften sich die Sicherheitslücken auch darin wiederfinden – und in darauf basierenden Webbrowsern wie Microsoft Edge. Daher sind für diese Browser in Kürze ebenfalls Sicherheitsaktualisierungen zu erwarten.
Siehe auch:
- Google Chrome bei heise Download
Themenseite zu Google Chrome auf heise online
(dmk)
