Webbrowser: Kritische Lücke in Google Chrome
Google hat im Webbrowser Chrome zehn Sicherheitslücken geschlossen. Eine davon ist kritisch und ermöglicht Angreifern Codeschmuggel mit manipulierten Webseiten.
Google verteilt Aktualisierungen für den Chrome-Webbrowser, die teils kritische Sicherheitslücken in der Software abdichten. Insgesamt zehn Schwachstellen sollen die neuen Versionen ausbessern. Angreifer hätten durch die kritische Lücke mit manipulierten Webseiten Schadcode einschmuggeln und ausführen können.
Lediglich zu acht von den Sicherheitslücken liefert Google in den Release-Notes eine kurze Zusammenfassung. Zwei Schwachstellen wurden daher offenbar intern aufgespürt. Mindestens eine Lücke stellt ein kritisches Risiko dar; sie betrifft die Prompts-Komponente des Browsers (CVE-2023-0941). Sechs der Lücken stellen demzufolge ein hohes Risiko dar, eine stufen die Entwickler als mittlere Bedrohung ein.
Zwischenzeitliche Updates ohne Sicherheitsbezug
Vergangene Woche hatte Google mehrere Aktualisierungen für Chrome unter Linux, Mac und Windows verteilt, die jedoch etwa am Donnerstag vergangener Woche nur Änderungen an GPU-Rendering-Code zurückgenommen haben, da dieser Facebook-Videos bei bestimmten Fenster-Auflösungen mit Störungen abgespielt hat. Am Dienstag letzter Woche entfernten die Entwickler hingegen JavaScript-Anbindungen, die den Seitenaufbau von SAP Business Objects gestört hatten.
Die jetzigen sicherheitsrelevanten Aktualisierungen hieven den Chrome-Webbrowser auf die Versionsstände 110.0.5481.153/.154 für Android, 110.0.5481.177 für Linux und Mac sowie 110.0.5481.177/.178 unter Windows. Wie üblich lässt sich der Versionsstand in Chrome prüfen, indem im Menü – durch Klicken auf das Symbol mit den drei aufeinandergestapelten Punkten rechts der Adressleiste – der Versionsdialog unter "Hilfe" – "Über Google Chrome" aufgerufen wird. Linux-Nutzer müssen die Softwareverwaltung ihrer Distribution dafür bemühen.
Google Chrome: Support für Windows Server 2012 und 2012 R2
Google Chrome hatte die Unterstützung für Windows 7, 8 und 8.1 mit der Veröffentlichung von Google Chrome 110 Anfang des Monats eingestellt. Das Dokument bezüglich der Unterstützung haben die Entwickler aktualisiert und darin Windows Server 2012 und 2012 R2 aufgenommen. Um den Übergang zu erleichtern, versprechen sie darin nun Unterstützung bis zum 10. Oktober 2023 für die Serversysteme.
Allerdings gilt die Beschränkung, dass für diese Betriebssysteme lediglich der 109er-Entwicklungszweig mit dringenden Fehlerkorrekturen und Sicherheitsupdates ausgestattet wird. Eine Migration auf die 110er-Versionen ist weiterhin nicht vorgesehen. Jetzt hat das Unternehmen für diese Systeme den Build 109.0.5414.129 herausgegeben. Die Release-Notes dazu erwähnen jedoch keine Details zu den behobenen Fehlern.
Vor zwei Wochen hatte Google den Entwicklungszweig 110 des Chrome-Browsers veröffentlicht. Damit schloss das Unternehmen 15 Sicherheitslücken und hat eine neue Release-Stufe eingeführt, die mit beschränkter Nutzerzahl vorab die Änderungen der kommenden Fassung testet.
Chrome-Nutzer sollten prüfen, ob sie die aktuelle Fassung des Browsers einsetzen, da sie andernfalls für Angriffe auf die kritische Sicherheitslücke anfällig bleiben. Chromium-basierte Webbrowser wie Microsoft Edge dürften in Kürze ebenfalls mit den Sicherheitsupdates ausgestattet werden, die Nutzer dieser Browser zügig anwenden sollten.
Siehe auch:
- Google Chrome: Download schnell und sicher von heise.de
(dmk)
