Zero-Day-Lücke: Google aktualisiert Webbrowser Chrome außer der Reihe
Google hat ein Notfall-Update für den Webbrowser Chrome herausgegeben. Es schließt unter anderem eine Zero-Day-Schwachstelle, die bereits angegriffen wird.
Google hat in der Nacht zum Samstag eine Aktualisierung für den Webbrowser Chrome veröffentlicht. Sie schließt zwei Sicherheitslücken, von denen eine bereits in freier Wildbahn angegriffen wird – also eine Zero-Day-Lücke. Nutzerinnen und Nutzer sollten daher rasch prüfen, ob sie bereits den aktuellen Stand nutzen.
Google Chrome: Ausgenutzte Zero-Day-Lücke
In den Release-Notes zur neuen Browser-Version schreiben die Entwickler, dass sie zwei Sicherheitslücken abdichtet. Eine davon haben externe IT-Forscher vom Google TAG-Team gemeldet, weshalb Google eine knappe Zusammenfassung dazu liefert. Zur anderen ist jedoch nichts weiter bekannt.
Mittels bösartig präparierter HTML-Webseite können Angreifer eine Speicherverwürfelung auf dem Heap erzeugen und diese zum Einschleusen sowie zur Ausführung von Schadcode missbrauchen. Der Fehler findet sich in der JavaScript-Engine V8 und basiert auf einem Fehler des Typs Type Confusion, bei dem verwendete Datentypen nicht zueinanderpassen (CVE-2023-2033, noch keine CVSS-Einstufung).
Aktuelle genutzte Fassung prüfen
Die fehlerbereinigten Versionsstände lauten 112.0.5615.100/.101 für Android und 112.0.5615.121 für Linux, macOS und Windows. Google will sie im Laufe der Tage mittels automatischem Update verteilen. Da eine damit geschlossene Lücke bereits angegriffen wird, könnte das zu spät sein. Mit dem Versionsdialog von Chrome lässt sich prüfen, ob auf dem Rechner die korrigierte Browser-Version läuft.
Der findet sich hinter den Browser-Einstellungen, die sich mit der Schaltfläche mit den drei gestapelten Punkten rechts von der Adressleiste erreichen lassen. Dort führt der Weg weiter über "Hilfe" - "Über Google Chrome". Der Dialog zeigt die aktuell genutzte Fassung an und startet gegebenenfalls die Aktualisierung. Am Ende muss der Browser zur Aktivierung des fehlerbereinigten Programmcodes noch neu gestartet werden. Unter Linux sorgt in der Regel die Distributions-eigene Softwareverwaltung für das Anwenden der Updates. Linux-Nutzer sollten diese daher starten und nach aktualisierter Software suchen lassen.
Die JavaScript-Engine V8 kommt auch in anderen Chromium-basierten Webbrowsern wie Microsofts Edge zum Einsatz. Für diese Webbrowser dürfte in Kürze ebenfalls aktualisierte Software bereitstehen, die Nutzer zügig installieren sollten.
Erst in der vergangenen Woche hat Google den Versionssprung auf Chrome 112 vollzogen. Im Wesentlichen hatte das Release 16 Sicherheitslücken abgedichtet.
(dmk)