Chrome 112: 16 SicherheitslĂĽcken gestopft
Google hat den Webbrowser Chrome in Version 112 freigegeben. Die Entwickler dichten 16 Schwachstellen ab. Chromium-basierte Browser dĂĽrften bald nachziehen.
Die Entwickler von Google haben den Chrome-Webbrowser in Version 112 veröffentlicht. Darin schließen sie 16 Sicherheitslücken. Einige davon stuft das Unternehmen als hochriskant ein.
Da Google lediglich Kurzbeschreibungen zu extern gemeldeten Schwachstellen liefert, sind nicht zu allen geschlossenen Lücken etwa die Bedrohungseinstufungen bekannt. Aus den vorhandenen Informationen lässt sich herleiten, dass Googles Entwickler zwei der Schwachstellen als hohes Risiko einstufen. Neun stellen demnach eine mittlere Bedrohung dar, in drei weiteren sehen die Entwickler hingegen lediglich ein niedriges Risiko.
Google Chrome-Lücken: Angreifer könnten Code ausführen
Zu den zwei hochriskanten Lücken ist bekannt, dass es sich einmal um einen Heap-basierten Pufferüberlauf im Renderer-Prozess handelt (CVE-2023-1810, noch kein CVSS, Risiko "hoch"). Die andere Schwachstelle mit hohem Risiko basiert auf einer Use-after-free-Lücke in der Frames-Komponente des Browsers, durch die eine bereits freigegebene Ressource wieder benutzt wird und daher undefinierte Inhalte zur Ausführung gelangen können (CVE-2023-1811, noch kein CVSS, hoch).
Beide Schwachstellen könnten Angreifer laut ihrer CVE-Einträge mit sorgsam präparierten Webseiten möglicherweise zum Ausführen untergeschobenen Codes missbrauchen. Google hat den Entdeckern entsprechend eine Belohnung von 5.000 US-Dollar respektive 3.000 US-Dollar im Rahmen des Bug-Bounty-Programms ausgezahlt.
Die Schwachstellen beheben die jetzt aktuellen Versionen 112.0.5615.47/.48 fĂĽr Android, 112.0.5615.46 fĂĽr iOS, 112.0.5615.49 fĂĽr Linux und Mac sowie 112.0.5615.49/50 fĂĽr Windows. Google verteilt sie ĂĽber die kommenden Tage automatisch. Aufgrund des Risikos durch die LĂĽcken sollten Chrome-Nutzer jedoch zeitnah prĂĽfen, ob sie die aktuelle Version einsetzen.
Google Chrome: aktuelle Version aktiv?
Um zu prüfen, ob der Webbrowser bereits auf dem aktuellen Stand ist, genügt der Aufruf des Einstellungsmenüs über das Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adressleiste und dem Pfad "Hilfe" – "Über Google Chrome".
Gegebenenfalls stößt der Aufruf des Versionsdialogs den Aktualisierungsprozess an und fordert zum nötigen Browser-Neustart auf. Linux-Nutzer müssen für gewöhnlich die Distributions-eigene Software-Verwaltung starten, um damit nach aktualisierten Paketen zu suchen und um sie zu installieren.
Die LĂĽcken betreffen auch das zugrundeliegende Chromium-Projekt. Die darauf basierenden Webbrowser wie Microsofts Edge dĂĽrften daher in KĂĽrze ebenfalls mit den Sicherheitsupdates ausgestattet werden. Googles Entwickler scheint die Arbeit nicht auszugehen: Vor rund zwei Wochen hatten sie bereits acht Schwachstellen in Google Chrome ausgebessert.
Siehe auch:
- Google Chrome bei heise Download
(dmk)