Erneutes Nachbessern bei Chrome: Google schließt zwei aktiv ausgenutzte Lücken
Nur zwei Tage nach dem letzten Update steht wieder eine neue Browser-Version bereit: Für zwei Sicherheitslücken mit "High"-Einstufung gibt es Exploit-Code.
Auf das Chrome-Sicherheitsupdate vom 9. November hat Google am gestrigen Mittwoch gleich ein weiteres folgen lassen. Es beseitigt zwei Sicherheitslücken aus den Browser-Ausgaben für Windows, Linux und macOS, die bereits aktiv ausgenutzt werden. Anwender sollten sicherstellen, dass auf ihrem System zeitnah die abgesicherte Version 86.0.4240.198 eingespielt wird. Das Chrome-Team will sie in den kommenden Tagen und Wochen verfügbar machen.
Übrigens steht auch für den Chromium-basierten Edge ein Update bereit, das vorerst allerdings nur die zum 9. November aus Chrome beseitigte Lücke schließt:
Exploits in freier Wildbahn
Wie gewohnt enthält die von Google veröffentlichte Release-Ankündigung zur neuen Chrome-Version nur wenige Informationen über die Lücken. Öffentlichen Zugriff auf die Bugtracker-Einträge gibt es erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden.
Beide Sicherheitslücken (CVE-2020-16013 / " Inappropriate implementation in V8", CVE-2020-16017 / "Use after free in site isolation") wurden gemäß CVSS mit "High" bewertet. Laut Google existieren Exploits in freier Wildbahn; Details zur Vorgehensweise oder zum Umfang aktiver Angriffe nennt das Unternehmen aber nicht.
Chrome derzeit häufig im Fokus von Angreifern
Die Frequenz, mit der Google gegen aktiv ausgenutzte (vormalige) "Zero-Days" nachbessern muss, ist derzeit auffallend hoch.
So berichteten wir erst Anfang vergangener Woche über versuchte Sandbox-Ausbrüche und Schadcode-Infektionen mittels zweier Sicherheitslücken. Zuvor wurde Ende Oktober eine "High"-Lücke in der FreeType-Bibliothek attackiert. Anwender sollten somit besonders aufmerksam nach neuen Versionen Ausschau halten und diese jeweils zeitnah installieren.
(ovw)