Alert!

Chrome 112: 16 Sicherheitslücken gestopft

Google hat den Webbrowser Chrome in Version 112 freigegeben. Die Entwickler dichten 16 Schwachstellen ab. Chromium-basierte Browser dürften bald nachziehen.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Lesezeit: 3 Min.
Von

Die Entwickler von Google haben den Chrome-Webbrowser in Version 112 veröffentlicht. Darin schließen sie 16 Sicherheitslücken. Einige davon stuft das Unternehmen als hochriskant ein.

Da Google lediglich Kurzbeschreibungen zu extern gemeldeten Schwachstellen liefert, sind nicht zu allen geschlossenen Lücken etwa die Bedrohungseinstufungen bekannt. Aus den vorhandenen Informationen lässt sich herleiten, dass Googles Entwickler zwei der Schwachstellen als hohes Risiko einstufen. Neun stellen demnach eine mittlere Bedrohung dar, in drei weiteren sehen die Entwickler hingegen lediglich ein niedriges Risiko.

Zu den zwei hochriskanten Lücken ist bekannt, dass es sich einmal um einen Heap-basierten Pufferüberlauf im Renderer-Prozess handelt (CVE-2023-1810, noch kein CVSS, Risiko "hoch"). Die andere Schwachstelle mit hohem Risiko basiert auf einer Use-after-free-Lücke in der Frames-Komponente des Browsers, durch die eine bereits freigegebene Ressource wieder benutzt wird und daher undefinierte Inhalte zur Ausführung gelangen können (CVE-2023-1811, noch kein CVSS, hoch).

Beide Schwachstellen könnten Angreifer laut ihrer CVE-Einträge mit sorgsam präparierten Webseiten möglicherweise zum Ausführen untergeschobenen Codes missbrauchen. Google hat den Entdeckern entsprechend eine Belohnung von 5.000 US-Dollar respektive 3.000 US-Dollar im Rahmen des Bug-Bounty-Programms ausgezahlt.

Die Schwachstellen beheben die jetzt aktuellen Versionen 112.0.5615.47/.48 für Android, 112.0.5615.46 für iOS, 112.0.5615.49 für Linux und Mac sowie 112.0.5615.49/50 für Windows. Google verteilt sie über die kommenden Tage automatisch. Aufgrund des Risikos durch die Lücken sollten Chrome-Nutzer jedoch zeitnah prüfen, ob sie die aktuelle Version einsetzen.

Um zu prüfen, ob der Webbrowser bereits auf dem aktuellen Stand ist, genügt der Aufruf des Einstellungsmenüs über das Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adressleiste und dem Pfad "Hilfe" – "Über Google Chrome".

Der aktuell laufende Stand von Chrome wird im Einstellungsmenü unter "Hilfe"-"Über Google Chrome" angezeigt. Bei Verfügbarkeit einer Aktualisierung stößt der Aufruf den Update-Prozess an und fordert gegebenenfalls zum nötigen Browser-Neustart auf.

(Bild: Screenshot/dmk)

Gegebenenfalls stößt der Aufruf des Versionsdialogs den Aktualisierungsprozess an und fordert zum nötigen Browser-Neustart auf. Linux-Nutzer müssen für gewöhnlich die Distributions-eigene Software-Verwaltung starten, um damit nach aktualisierten Paketen zu suchen und um sie zu installieren.

Die Lücken betreffen auch das zugrundeliegende Chromium-Projekt. Die darauf basierenden Webbrowser wie Microsofts Edge dürften daher in Kürze ebenfalls mit den Sicherheitsupdates ausgestattet werden. Googles Entwickler scheint die Arbeit nicht auszugehen: Vor rund zwei Wochen hatten sie bereits acht Schwachstellen in Google Chrome ausgebessert.

Siehe auch:

(dmk)