Webbrowser: Google Chrome dichtet Sicherheitslecks ab und ändert Release-Zyklus

Inhaltsverzeichnis

Google hat Version 110 des Webbrowsers Chrome für Android, iOS, Linux, Mac und Windows herausgegeben und schließt darin 15 Sicherheitslücken, die zum Teil ein hohes Risiko für Nutzerinnen und Nutzer darstellen. Beim Release-Zyklus hat Google zudem eine neue Zwischenstufe zur Qualitätssicherung eingeschoben.

Webbrowser Chrome: 15 Sicherheitslücken

Google veröffentlicht zum Schutz der Browser-Nutzer noch keine Details zu den geschlossenen Schwachstellen in der aktuellen Version. Von den 15 Sicherheitslücken wurden jedoch offenbar zehn von externen IT-Sicherheitsforschern gemeldet, zu den fünf weiteren hüllt sich der Konzern in vornehmes Schweigen. Von den Lücken, zu denen Google zumindest eine knappe Zusammenfassung liefert, stuft das Unternehmen drei als hochriskant ein, fünf als mittleren und zwei als niedrigen Bedrohungsgrad.

Dazu gehören unter anderem eine Type-Confusion-Lücke in der JavaScript-Engine V8, bei der mit unpassenden Datentypen auf Datenstrukturen zugegriffen wird. Angreifer könnten damit eine Störung auf dem Heap provozieren und dadurch unter Umständen sogar eingeschleusten Code zur Ausführung bringen (CVE-2023-0696, noch ohne CVSS, Risiko "hoch"). Durch Fehler in der Implementierung des Vollbild-Modus hätten Angreifer Inhalte des Sicherheits-UI mit einer manipulierten HTML-Seite fälschen können (CVE-2023-0697, ebenfalls noch ohne CVSS-Einstufung, hoch).

Zudem ermöglichte ein potenzieller Lesezugriff außerhalb der zugewiesenen Speicherbereiche das unbefugte Auslesen von Informationen mittels präparierter HTML-Webseite (CVE-2023-0698, bislang kein CVSS-Wert, hoch).

Frühes Vorab-Release

Bislang hatte Google stets angegeben, dass die aktualisierten Webbrowser-Versionen im Laufe der kommenden Tage und Wochen automatisch verteilt würden. Jetzt hat das Unternehmen jedoch ganz offiziell eine weitere Stufe in den Veröffentlichungsprozess eingezogen. Der Hinweis bleibt trotzdem in den Versionsankündigungen.

Der $(LEhttps://developer.chrome.com/blog/early-stable/:von Google hievt zunächst einen "kleinen Prozentsatz" – Google nennt keine Zahlen – auf den neuen Stand. Dies soll helfen, gröbere Fehler frühzeitig zu erkennen und gegebenenfalls mit einer weiteren Aktualisierung gegensteuern zu können. Grobe Schnitzer betreffen dann lediglich einen kleinen Teil der Nutzer; das ermöglicht eine schnellere Fehlerkorrektur. Early Stable kommt eine Woche vor den bisher geplanten Release-Zeitpunkten. Das Update auf den neuen Early-Stable-Versionsstand lässt sich von Nutzern jedoch nicht erzwingen oder früher anstoßen.

Google Chrome: Alles aktuell?

Die jetzt aktuellen Versionen lauten Chrome 110.0.5481.63/.64 für Android, Chrome 110.0.5481.83 für iOS, Chrome 110.0.5481.77 für Linux und Mac sowie Chrome 110.0.5481.77/.78 für Windows. Ob die auf dem Rechner laufende Version auf dem aktuellen Stand ist, lässt sich mit einem Klick auf das Chrome-Menü – das sich rechts von der Adressleiste hinter dem Symbol mit drei vertikal gestapelten Punkten verbirgt –, dort weiter zu "Hilfe" - "Über Google Chrome" überprüfen. Der Dialog zeigt die aktuell genutzte Fassung an und startet gegebenenfalls das Herunterladen und die Installation der Aktualisierung. Im Anschluss ist ein Browser-Neustart nötig.

Linux-User müssen die Softwareverwaltung ihrer Distribution dazu aufrufen. Da die Schwachstellen auch das zugrundeliegende Chromium-Projekt betreffen, dürften darauf basierende Webbrowser wie Microsofts Edge in Kürze ebenfalls mit aktualisierten Fassungen nachziehen. Vor rund zwei Wochen hatte Google bereits sechs teils hochriskante Schwachstellen im Webbrowser Chrome gestopft.

• Google Chrome: Download schnell und sicher von heise.de

(dmk)