Webbrowser: 17 Sicherheitslücken in Google Chrome gestopft
Das erste Update des Jahres hievt den Webbrowser Chrome auf Stand 109. Die Entwickler schließen darin 17 Schwachstellen, von denen einige hochriskant sind.
Der Webbrowser Chrome von Google schließt in Version 109 17 Sicherheitslücken. Davon stufen die Entwickler mindestens zwei als hochriskant ein. Chrome-Nutzende sollten daher prüfen, ob ihre Version bereits auf dem aktuellen Stand ist.
Die Google-Entwickler kündigen für die neue Version zudem neue Funktionen und große Anstrengungen an – ohne jedoch konkret zu werden. Das würden künftige Blog-Beiträge näher beleuchten.
Detailarmut bei den Sicherheitslücken
Daher sind derzeit wie üblich lediglich eingeschränkte Informationen zu den abgedichteten Schwachstellen im Webbrowser verfügbar. Zwei der 17 Lücken stufen die Entwickler als hohes Risiko ein, acht als mittlere und vier als niedrige Bedrohung. Zu drei der Lücken fehlen alle Informationen, was ein Indiz sein kann, dass sie nicht von externen IT-Sicherheitsforschern gemeldet wurden.
Die hochriskanten Lücken betreffen eine Use-after-free-Lücke im Overview Mode, bei dem bereits freigegebene Ressourcen wie Pointer oder Speicher genutzt werden und undefinierte Inhalte vorweisen (CVE-2023-0128). Dies kann oftmals zur Ausführung eingeschleusten Codes missbraucht werden. Die zweite Schwachstelle mit hohem Risiko findet sich im Network Service, in dem ein Heap-basierter Pufferüberlauf auftreten kann (CVE-2023-0129). Auch das ermöglicht oftmals Codeschmuggel.
Aktualisierte Fassung
Nach der Aktualisierung tragen die Chrome-Webbrowser die Versionsnummern 109.0.5414.74 für Linux, 109.0.5414.87 für Mac sowie 109.0.5414.74/.75 für Windows. Die Mobilversion unter iOS kommt auf Stand 109.0.5414.83. Für Android ist bislang noch keine Meldung einer Aktualisierung vorhanden. Google hebt das Extended Stable Release zeitgleich auf den Stand 108.0.5359.179 für Mac und Windows.
Um zu prüfen, ob die aktuell eingesetzte Chrome-Version bereits auf dem fehlerbereinigten Stand ist, genügt ein Klick auf das Einstellungsmenü von Chrome, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende des Menüs geht es dann weiter über die Einträge "Hilfe", um anschließend auf "Über Google Chrome" zu klicken. Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen.
Da die Komponenten mit den Sicherheitslücken auch im Chromium-Browser zum Einsatz kommen, steht auch für andere Chromium-basierte Webbrowser wie Microsofts Edge in Kürze sehr wahrscheinlich eine Aktualisierung an. Vor rund einem Monat hatte Google dem Chrome-Webbrowser etwa Unterstützung für Passkeys spendiert. Diese ermöglichen die passwortlose Authentifikation und sollen besser etwa besser vor Phishing schützen.
- Google Chrome bei heise Download
(dmk)
