Google Chrome: SicherheitslĂĽcke wird in freier Wildbahn ausgenutzt
Google aktualisiert den Webbrowser Chrome. Das Update schlieĂźt hochriskante SicherheitslĂĽcken. Eine davon wird bereits missbraucht.
Googles Entwickler schlieĂźen mit einem Update des Webbrowsers Chrome mehrere SicherheitslĂĽcken, von denen eine bereits in freier Wildbahn angegriffen wird. Insgesamt dichtet die neue Fassung vier Sicherheitslecks ab. Wer Chrome oder darauf basierende Browser nutzt, sollte das Update zĂĽgig anwenden.
Vier Schwachstellen in Chrome
Bei der bereits angegriffenen Schwachstelle handelt es sich laut Googles Release-Benachrichtigung um einen Speicherzugriff außerhalb der vorgesehenen Grenzen in der Javascript-Engine V8 (CVE-2024-0519, kein CVSS-Wert, Risiko laut Google "hoch"). Zudem können Angreifer etwa mit manipulierten Webseiten eine Schwachstelle der Art "Type confusion" in V8 missbrauchen, wobei übergebene Datentypen nicht mit denen im Programmcode vorgesehenen übereinstimmen, was ebenfalls zu Zugriffen auf nicht dafür vorgesehene Speicherbereiche führen kann (CVE-2024-0518, kein CVSS-Wert, hoch).
Schreibzugriffe außerhalb der Speichergrenzen sind durch eine weitere Schwachstelle in der V8-Engine möglich – der Melder der Lücke erhält von Google sogar 16.000 US-Dollar Belohnung (CVE-2024-0517, kein CVSS-Wert, hoch). Zu der vierten Lücke gibt Google keinerlei Hinweise, da sie offenbar nicht von externen IT-Sicherheitsforschern gemeldet wurde.
Die Fehler korrigieren die Versionen Chrome 120.0.6099.230 fĂĽr Android, 121.0.6167.66 fĂĽr iOS, 120.0.6099.224 fĂĽr Linux, 120.0.6099.234 fĂĽr macOS sowie 120.0.6099.224/225 fĂĽr Windows. Die Extended Stable-Fassung fĂĽr macOS und Windows tragen ebenfalls diese Versionsnummern.
Aktive Softwareversion ĂĽberprĂĽfen
Ob bereits die aktuelle und fehlerbereinigte Version von Google Chrome läuft, lässt sich im Versionsdialog überprüfen. Der zeigt den aktuellen Software-Stand an und startet bei Bedarf den Update-Prozess.
Der Dialog lässt sich durch Klick auf das Symbol mit den drei vertikal gestapelten Punkten und den weiteren Weg "Hilfe" – "Über Google Chrome" öffnen. Wer Chrome in Linux nutzt, sollte die Software-Verwaltung der eingesetzten Distribution starten und nach dem Update suchen lassen. Da der Chromium-Browser mitsamt seiner Javascript-Engine auch als Basis für andere Webbrowser wie Microsofts Edge dient, sollten Nutzerinnen und Nutzer dieser Browser ebenfalls prüfen, ob bereits eine Aktualisierung verfügbar ist und diese anwenden.
Beim turnusgemäßen Chrome-Update der vergangenen Woche haben die Entwickler eine Sicherheitslücke darin ausgebessert. Sie galt ebenfalls als hohes Risiko.
(dmk)