Alert!

Chrome: Weitere Zero-Day-LĂĽcke mit Update geschlossen

Zum dritten Mal innerhalb einer Woche aktualisiert Google den Chrome-Webbrowser. Erneut kursiert ein Exploit fĂĽr eine Zero-Day-LĂĽcke darin.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Stilisierte Grafik: Brennendes Google-Chrome-Logo auf einem Laptop

Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Von

Google veröffentlicht erneut ein Notfall-Sicherheitsupdate für den Webbrowser Chrome. Für eine neue Zero-Day-Lücke im Browser kursiert abermals ein Exploit in freier Wildbahn. Dabei vollzieht der Anbieter auch den Versionssprung in den 125-Entwicklungszweig.

In der VersionsankĂĽndigung schreiben Googles Entwickler, dass die neue Version insgesamt neun Sicherheitslecks abdichtet. Knappe Informationen liefern sie lediglich fĂĽr vier davon, fĂĽnf wurden demnach intern gefunden. Zwei wurden als hohes Risiko, eine als mittleres und eine als niedriger Bedrohungsgrad eingestuft.

Eine Lücke vom Typ Type-Confusion betrifft die Javascript-Engine V8. Dabei passen verarbeitete Datentypen nicht zu den im Programmcode vorgesehenen, was zum Überschreiten von Speichergrenzen und in manchen Fällen zum Ausführen von untergeschobenem Code führen kann. In diesem Fall können Angreifer die Lücke etwa mit einer bösartig manipulierten Webseite missbrauchen, um beliebigen Code innerhalb einer Sandbox auszuführen (CVE-2024-4947, kein CVSS-Wert, Risiko laut Google "hoch"). Für diese Sicherheitslücke weiß Google von Exploits, die in freier Wildbahn kursieren.

Zudem schlieĂźen die neuen Versionen eine Use-after-free-Schwachstelle in der Browser-Komponente Dawn (CVE-2024-4948, hoch) und eine in der V8-Javbascript-Engine (CVE-2024-4949, mittel) sowie eine unangemessene Implementierung in Downloads (CVE-2024-4950, niedrig).

Die abgesicherten Browser-Versionen lauten nun Chrome 125.0.6422.53 fĂĽr Android, 125.0.6422.60 fĂĽr Linux und 125.0.6422.60/.61 fĂĽr macOS und Windows. Die Extended-Stable-Version wurde ebenfalls aktualisiert, dort ist nun Stand 124.0.6367.221 fĂĽr macOS und Windows aktuell. Wer Google Chrome einsetzt, sollte sicherstellen, dass die aktuelle Fassung installiert und aktiv ist.

Der Versionsdialog von Google Chrome zeigt den aktuell laufenden Software-Stand an und startet gegebenenfalls den Update-Vorgang. Durch Klick auf das Einstellungsmenü des Webbrowsers, das sich hinter dem Symbol mit den drei gestapelten Punkten rechts von der Adressleiste befindet, und den weiteren Weg über "Hilfe" – "Über Google Chrome" gelangen Nutzer und Nutzerinnen dort hin.

Der Versionsdialog von Google Chrome zeigt die aktuell laufende Software-Version an. Bei VerfĂĽgbarkeit startet er auch den Aktualisierungsprozess.

(Bild: Screenshot / dmk)

Wer Chrome unter Linux nutzt, startet fĂĽr die Update-Suche ĂĽblicherweise die Software-Verwaltung der eingesetzten Distribution. Da die Fehler den Chromium-Webbrowser betreffen, auf dem auch andere Browser wie Microsofts Edge basieren, dĂĽrfte fĂĽr die anderen abgeleiteten Webbrowser in KĂĽrze ebenfalls eine Aktualisierung bereitstehen. Die sollten Nutzer umgehend installieren.

Derzeit gibt es eine ungewöhnliche Häufung an Exploits, die im Umlauf sind und mit denen sich bislang unbekannte Schwachstellen in Chrome angreifen ließen, sogenannte Zero-Day-Lücken. Bereits am Freitag vergangener und dem Dienstag dieser Woche hatte Google Notfall-Updates herausgegeben, die solche Sicherheitslücken gestopft haben.

(dmk)