Google Chrome: Update stopft angegriffene Sicherheitslücke und 37 weitere
Google hat ein Update für den Webbrowser Chrome veröffentlicht. Es schließt 38 Sicherheitslücken, von denen eine bereits missbraucht wird.
Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Im Webbrowser Chrome von Google klaffen insgesamt 38 Sicherheitslücken, die die Entwickler mit einer Aktualisierung aus der vergangenen Nacht stopfen. Eine der Lücken wird bereits in freier Wildbahn angegriffen. Nutzerinnen und Nutzer sollten daher sicherstellen, den aktuellen Softwarestand einzusetzen.
In der Versionsankündigung zum neuen Chrome-Build listen Googles Programmierer sieben als hochriskant eingestufte Schwachstellen auf, neun mit mittlerem Schweregrad sowie vier als niedriges Risiko betrachtete Schwachstellen. Zu 18 Lücken fehlen jedwede Hinweise – üblicherweise hält Google die Informationen derart zurück, wenn die Lecks bei internen Analysen aufgefallen sind.
Chrome: Lücke bereits missbraucht
Bei der in freier Wildbahn bereits missbrauchten Schwachstelle handelt es sich um eine Lücke des Typs "Type confusion" in der Javascript-Engine V8 (CVE-2024-7971, kein CVSS-Wert, Risiko laut Google "hoch"). Bei diesem Schwachstellentyp passen tatsächlich auftretende Datentypen nicht zu den Erwarteten, was aufgrund unterschiedlicher Größen dann etwa zu Zugriffen außerhalb von vorgesehenen Speicherbereichen und in weiterer Folge unter Umständen zur Ausführung von eingeschleustem Code führen kann. Die Lücke wurde von MIcrosofts MSRC und MSTIC am Montag dieser Woche gemeldet.
Auch die anderen als hohes Risiko eingestuften Lücken ermöglichen unerwartete Zugriffe auf nicht dafür vorgesehene Speicherbereiche. Einige Lücken bestehen darin, dass auf Ressourcen zugegriffen wird, obwohl sie bereits freigegeben wurden (Use after free), Heap-basierte Pufferüberläufe oder direkt Zugriffe auf nicht dafür vorgesehene Speicherbereiche. Die Lücken lassen sich im Regelfall durch die Anzeige sorgsam präparierter Webseiten provozieren.
Die Chrome-Versionen 128.0.6613.88 für Android, 128.0.6613.92 für iOS, 128.0.6613.84 für Linux sowie 128.0.6613.84/.85 für macOS und Windows dichten die Sicherheitslücken ab.
Update-Prüfung
Ob der Webbrowser bereits auf aktuellem Stand ist, verrät der Versionsdialog. Der lässt sich durch Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste und den weiteren Weg über "Hilfe" – "Über Google Chrome" erreichen.
(Bild: Screenshot / dmk)
Da der Chromium-Browser auch anderen als Basis dient, dürften für die davon abgeleiteten Webbrowser wie Microsoft Edge in Kürze ebenfalls Updates bereitstehen. Diese sollten dann ebenfalls zügig installiert werden.
Vor zwei Wochen hatten Googles Entwickler in Chrome bereits sechs Schwachstellen ausgebessert, von denen sie eine als kritisches Sicherheitsrisiko eingestuft hatten. Zugleich hatte Mozilla Sicherheitslücken mit neuen Softwareversionen von Fikrefox, Firefox ESR und Thunderbird geschlossen.
(dmk)