Alert!

Google Chrome: Kritische SicherheitslĂĽcke gestopft

Das wöchentliche Update für Googles Chrome-Webbrowser schließt dieses Mal eine als kritisches Risiko eingestufte Sicherheitslücke.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Stilisierte Grafik: Brennendes Google-Chrome-Logo auf einem Laptop

Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Von

Die Entwickler von Google haben mit dem wöchentlichen Chrome-Update zwei Sicherheitslücken in dem Webbrowser geschlossen. Eine davon stufen sie als kritisches Risiko ein – Nutzerinnen und Nutzer sollten daher vor dem Weitersurfen sicherstellen, die abgesicherten Versionen einzusetzen.

In einem Blog-Beitrag erläutern die Google-Programmierer, dass die Aktualisierung aus der Nacht zum Mittwoch zwei Schwachstellen ausbessert. Bei der einen handelt es sich um potenzielle Schreibzugriffe außerhalb dafür vorgesehener Grenzen in der Dawn-Komponente von Chrome (CVE-2024-10487, kein CVSS-Wert, Risiko laut Google "kritisch"). Dawn ist die Umsetzung des WebGPU-Standards in Chrome. Schreibzugriffe auf dafür nicht vorgesehene Speicherbereiche erlaubt Angreifern oftmals, Schadcode einzuschleusen und auszuführen. Die Anzeige einer manipulierten Webseite scheint dafür auszureichen und das Provozieren der Lücke nicht schwer zu sein, was die Risikoeinstufung nahelegt.

Zudem haben die Programmierer eine Use-after-free-Lücke in der WebRTC-Umsetzung abgedichtet. Dabei können Angreifer auf bereits freigegebene Ressourcen zugreifen, deren Inhalte dadurch nicht definiert sind, was sich ebenfalls häufig zum Ausführen von eingeschleustem Code missbrauchen lässt (CVE-2024-10488, kein CVSS-Wert, Risiko laut Google "hoch"). WebRTC umfasst Protokolle und Programmschnittstellen für die Echtzeitkommunikation.

Die Sicherheitslücken hat Google in Chrome für Android 130.0.6723.86, für iOS 130.0.6723.90, für Linux in Fassung 130.0.6723.91 sowie mit Version 130.0.6723.91/.92 für macOS und Windows geschlossen. Auch die "Extended Stable"-Version ist jetzt in Version 130.0.6723.92 für macOS und Windows abgesichert. Häufig dichtet Google mit den regelmäßigen Updates Sicherheitslecks ab, die maximal den Schweregrad hoch erreichen; als kritische Bedrohung eingestufte oder bereits in freier Wildbahn ausgenutzte Schwachstellen sind vergleichsweise selten – zuletzt war das Ende August der Fall. Wer Chrome einsetzt, sollte daher sicherstellen, die neuen Versionen zu verwenden.

Unter Windows und macOS genĂĽgt der Aufruf des Versionsdialogs durch Klicken auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste, dann weiter ĂĽber "Hilfe" hin zu "Ăśber Google Chrome".

Der Versionsdialog von Google Chrome zeigt den aktuell laufenden Softwarestand und bietet gegebenenfalls die Installation von bereitstehenden Aktualisierungen an.

(Bild: Screenshot / dmk)

Dort zeigt der Webbrowser den aktuell aktiven Stand der laufenden Software an. Stehen Aktualisierungen zur Verfügung, installiert er sie und fordert zum Browser-Neustart auf. Unter Linux zeichnet dafür in der Regel die Softwareverwaltung der eingesetzten Distribution verantwortlich. Unter Android und iOS finden sich Aktualisierungen in den jeweiligen App-Stores. Nicht jedes Smartphone-Modell bekommt das Update jedoch umgehend angeboten, das kann insbesondere bei etwas älteren Modellen bis zu ein paar Tagen dauern.

Auch andere Webbrowser sind nicht vor Schwachstellen sicher: Am Dienstag hat Mozilla die Webbrowser Firefox sowie Firefox ESR und das Mailprogramm Thunderbird in allen unterstĂĽtzten Versionszweigen aktualisiert und darin teils als hohes Risiko eingestufte Sicherheitslecks abgedichtet. Zudem markierte das Update den Ăśbergang auf den 132er-Entwicklungszweig fĂĽr Firefox.

(dmk)