Chrome-Update dichtet 17 Sicherheitslecks ab
Googles Entwickler aktualisieren den Chrome-Webbrowser und schließen 17 Sicherheitslücken darin. Einige ermöglichen wohl Codeschmuggel.
(Bild: Google, Collage heise online/dmk)
Google schließt mit dem wöchentlichen Browser-Update 17 Sicherheitslücken in Chrome. Aufgrund des Schweregrads lässt sich ableiten, dass Angreifer etwa mit manipulierten Webseiten eigenen Code einschleusen und ausführen können. Elf der Lücken wurden von externen IT-Forschern gemeldet, sodass nur dazu Andeutungen vorliegen.
In der Versionsankündigung von Google listen die Entwickler drei Lücken mit hohem Risiko, sechs mit mittlerem und zwei mit niedrigem auf. Zu den restlichen sechs intern gefundenen Schwachstellen gibt es derzeit keinerlei Informationen.
Drei hochriskante Lücken in Chromium
In WebAudio wurde eine Use-after-free-Lücke geschlossen. Bei Lücken dieser Art werden bereits freigegebene Ressourcen, die dadurch in undefiniertem Zustand sind, vom Programmcode fälschlicherweise erneut zugegriffen. Das ermöglicht oftmals, eingeschleusten Schadcode auszuführen (CVE-2024-0807, kein CVSS-Wert, Risiko "hoch"). Zudem korrigiert die neue Version eine "unangemessene Implementierung in der Accessibility-Komponente" (CVE-2024-0812, kein CVSS, hoch). Einen Fehler bei Integer-Berechnungen können zu einem Unterlauf in der WebUI führen (CVE-2024-0808, kein CVSS, hoch).
Die erste dieser Lücken brachte den Meldern 11.000 US-Dollar Belohnung ein, die zweite 9.000 US-Dollar und die dritte hochriskante Schwachstellenmeldung immerhin noch 6.000 US-Dollar. Die aktuellen Versionsstände, die die Fehler nicht mehr enthalten, lauten Chrome für Android 121.0.6167.101, für Linux und macOS 121.0.6167.85 sowie 121.0.6167.85/.86 für Windows. Die extended Stable-Version hatb ebenfalls ein Update erfahren, bleibt aber im 120er-Entwicklungszweig. Dort ist Fassung 120.0.6099.268 für macOS und Windows aktuell.
Versionscheck
Wer Chromium-basierte Browser nutzt, sollte prüfen, ob die aktuell laufende Version bereits auf dem neuen, fehlerfreien Stand ist. Das lässt sich im Versionsdialog erledigen. Der ist über das Browser-Einstellungsmenü erreichbar, das sich hinter dem Symbol mit den drei gestapelten Punkten rechts der Adressleiste befinden. Der Weg geht weiter über "Hilfe" – "Über Google Chrome". Steht eine Aktualisierung bereit, startet das den Update-Vorgang.
(Bild: Screenshot / dmk)
Linux-Nutzer sollten für das Update die Distributions-eigene Softwareverwaltung starten. Andere Chromium-basierte Webbrowser wie Microsofts Edge sollten in Kürze ebenfalls eine fehlerbereinigte Version anbieten, die sich auf ähnlichem Wege wie oben gezeigt installieren lässt.
Google hatte zudem gerade verkündet, dass in den Webbrowser Chrome ab der jetzt verteilten 121er-Version generative KI einziehen soll. Für den Anfang können das Chrome-Nutzer unter macOS und Windows in den USA ausprobieren. Wann eine Ausweitung auf andere Zonen oder Länder erfolgt, ist bislang unklar. Die KI-Funktionen befinden sich im Einstellungsmenü in dem neuen Unterpunkt "Experimentelle KI". Aufgrund der experimentellen Natur steht sie Nutzern aus Unternehmen und Bildung aber vorerst nicht zur Verfügung.
In der vergangenen Woche hatte Google in Chrome Sicherheitslücken mit hohem Risiko geschlossen. Eine davon wurde bereits in freier Wildbahn ausgenutzt.
(dmk)
