Google Chrome: Sandbox-Ausbruch durch bestimmte Gesten möglich
Google hat den Chrome-Webbrowser aktualisiert. Angreifer können Sicherheitslücken zum Ausführen von Schadcode missbrauchen.
Mit etwas Verspätung haben Googles Entwickler das wöchentliche Update für den Chrome-Webbrowser veröffentlicht. Insgesamt drei Sicherheitslücken stopfen die Programmierer darin. Alle tragen die Risikoeinstufung "hoch".
Am gravierendsten – basierend auf der Höhe der Belohnung für den Melder, 21.000 US-Dollar – scheint Googles Entwicklern laut der Versionsankündigung ein potenzieller Schreibzugriff außerhalb vorgesehener Grenzen in der Compositing-Komponente. Wesentlich spannender wird die konkrete Beschreibung der Lücke im CVE-Eintrag: Angreifer, die den GPU-Prozess kompromittiert haben (etwa durch eine andere Sicherheitslücke in Chrome), können aus der Sandbox ausbrechen, die das System vor Einbrüchen schützen soll. Und zwar mit nicht konkret erläuterten, bestimmten Gesten in der Bedienoberfläche (CVE-2024-3157, kein CVSS-Wert, Google-Einstufung des Risikos "hoch"). Da kommt manchen sicher eine Werbekampagne in den Sinn: "Mit einem Wisch ist alles weg".
Google Chrome: Codeschmuggel-LĂĽcken im Browser
Zwei weitere Sicherheitslücken brachten den Meldenden jeweils 10.000 US-Dollar Belohnung ein. Ein Heap-basierter Pufferüberlauf in der Angle-Komponente kann zur Ausführung von Schaodcode führen (CVE-2024-3516, kein CVSS-Wert, hoch). Laut CVE-Eintrag gelingt das durch die Anzeige einer manipulierten HTML-Webseite. Zudem hat eine Use-after-free-Lücke im Dawn-Modul ebenfalls Speicherchaos auf dem Heap zur Folge, was Angreifer ebenfalls mit sorgsam präparierten Webseiten provozieren und dadurch Schadcode einschleusen und ausführen können (CVE-2024-3515, kein CVSS-Wert, hoch).
Die sicherheitsrelevanten Fehler bĂĽgeln die Versionen Chrome fĂĽr Android 123.0.6312.118, 123.0.6312.122 fĂĽr Linux, 123.0.6312.122/.123/.124 fĂĽr Mac sowie 123.0.6312.122/.123 fĂĽr Windows aus.
Alles auf neuem Stand?
Ob die aktuelle Version bereits aktiv ist, zeigt der Versionsdialog des Webbrowsers an. Der lässt sich durch Klick auf das Einstellungsmenü (verbirgt sich hinter dem Icon mit den drei vertikal gestapelten Punkten rechts von der Adressleiste) und dort weiter über "Hilfe" – "Über Google Chrome" öffnen. Gegebenfalls startet das dann den Aktualisierungsvorgang.
Unter Linux ist in der Regel die Softwareverwaltung der Distribution fĂĽr die Aktualisierung von Chrome verantwortlich und sollte daher gestartet und zur Update-Suche bemĂĽht werden. Da andere auf dem Chromium-Projekt basierenden Browser wie Microsofts Edge ebenfalls von den Fehlern betroffen sind, dĂĽrfte fĂĽr diese in KĂĽrze auch ein Update bereitstehen.
In der vergangenen Woche hatte Google ebenfalls drei Sicherheitslücken in Chrome abgedichtet. Wesentlich spannender war hingegen die gleichzeitige Ankündigung, dass die Entwickler an einer Funktion arbeiten, die Session-Cookie-Klau sinnlos machen soll. Mit Device Bound Session Credentials (DBSC) werden mit einem an Passkeys erinnernden Mechanismus authentifizierte Sitzungen (authentication sessions) dadurch an das Gerät gebunden.
(dmk)