Webbrowser: Kritische Sicherheitslücke in Google Chrome
Google hat ein Update für den Chrome-Webbrowser herausgegeben. Es schließt mindestens eine kritische Sicherheitslücke. Angreifer könnten Schadcode einschleusen.
Für den Webbrowser Chrome hat Google in der Nacht ein Update veröffentlicht, das mindestens eine kritische Sicherheitslücke schließt. Sie ermöglicht Angreifern das Einschmuggeln und Ausführen von Schadcode.
Insgesamt umfasst das Update Korrekturen, die zwölf Sicherheitslücken abdichten, schreibt Google in der Versionsankündigung. Davon wurden offenbar lediglich sechs von externen IT-Sicherheitsforschern gemeldet, da nur dazu Kurzbeschreibungen vorliegen. Demnach ist mindestens eine der Lücken kritisch, vier bergen ein hohes Sicherheitsrisiko und eine stufen Googles Entwickler als mittlere Bedrohung ein.
Google Chrome: kritische Lücke
Die schwerwiegendste Schwachstelle, die die neue Browser-Version ausbessert, ist vom Typ Use-after-free in der Navigations-Komponente. Dabei greift der Programmcode fälschlicherweise auf bereits freigegebene Ressourcen zu, deren Inhalt dadurch undefiniert ist und möglicherweise Schadcode enthält oder referenziert. Im CVE-Eintrag erläutern die Entwickler, dass es sich um eine Speicherverwürfelung auf dem Heap handele, die Angreifer "möglicherweise mittels manipulierter Webseite missbrauchen" können (CVE-2023-2721, noch kein CVSS-Wert, Risiko laut Google "kritisch").
Von den aufgelisteten hochriskanten Lücken sind drei ebenfalls Use-after-free-Schwachstellen, in den Komponenten Autofill-UI, DevTools und Guest-View (CVE-2023-2722, CVE-2023-2723, CVE-2023-2725, ohne CVSS, hochriskant). In der JavaScript-Engine V8 kann ein Type-Confusion-Fehler auftreten, bei dem verwendete Datentypen nicht zueinanderpassen und damit ungewollt Zugriffe auf nicht vorgesehene Speicherbereiche stattfinden können (CVE-2023-2724, kein CVSS, hoch).
Die Fehler bessern die Chrome-Versionen 113.0.5672.121 für iOS, 113.0.5672.126 für Linux und Mac sowie 113.0.5672.126/.127 für Windows aus. Die Extended-Stable-Fassung des Webbrowsers für Mac und Windows hievt Google derweil auf Version 112.0.5615.204.
Versionsprüfung
Ob die aktuelle Version bereits auf dem Rechner aktiv ist, lässt sich mit dem Klick auf das Symbol mit den drei aufgestapelten Punkten rechts von der Adressleiste und dem weiteren Pfad "Hilfe" - "Über Google Chrome" herausfinden. Das öffnet den Versionsdialog. Der zeigt die aktuell laufende Version an und startet gegebenenfalls den Update-Prozess.
(Bild: Screenshot / dmk)
Unter Linux liefert in der Regel das Distribution-eigene Software-Management die Updates aus. Dort sollten Nutzer daher die Software-Verwaltung nach Aktualisierungen suchen und diese bei Verfügbarkeit anwenden lassen. Da die Schwachstellen das zugrundeliegende Chromium-Projekt betreffen, dürften darauf basierende Webbrowser wie Microsoft Edge in Kürze ebenfalls eine Aktualisierung ausliefern. Auch diese sollten Nutzer zügig installieren.
Zuletzt hat Google den Chrome-Webbrowser vor zwei Wochen aktualisiert und dabei 15 Schwachstellen geschlossen. Zudem hat das Update auf den Versionszweig 113 die Unterstützung von WebGPU gebracht – Chrome war damit der erste Browser, der Support dafür implementiert hat.
Siehe auch:
- Google Chrome bei heise Download
(dmk)
