Webbrowser Google Chrome 101 schließt 30 Sicherheitslücken

Google hat die Version 101 des weitverbreiteten Webbrowsers für Linux, Mac und Windows herausgegeben und behebt darin 30 sicherheitsrelevante Fehler. Davon stuft das Unternehmen mindestens sieben als Bedrohung mit hohem Risiko für Nutzer ein, 14 als mittleres Risiko und weitere vier als niedriges Risiko. Zu den fehlenden fünf Lücken fehlen jedwede Informationen. Aufgrund der gezahlten Bug-Bounties ließen sich einige der Sicherheitslücken vermutlich zum Ausführen eingeschleusten Schadcodes missbrauchen.

Auch die Android-Version hat jetzt als Version die Nummer 101.0.4951.41 erreicht, während der iOS-Browser sogar auf Stand 101.0.4951.44 landet. Zu den Änderungen in den Mobil-Browsern fasst Google lapidar zusammen, dass die Verbesserungen hauptsächlich die Stabilität und Performance betreffen. Die Extended Stable-Fassung haben die Entwickler zudem in Version 100.0.4896.143 veröffentlicht.

Details? Mangelware

Da Google wie üblich die Nutzer der Software schützen möchte, veröffentlicht das Unternehmen noch keine Details zu den geschlossenen Sicherheitslücken. Angreifer könnten andernfalls die Informationen zur schnellen Entwicklung von Exploits missbrauchen, also die Schwachstellen ausnutzen. Aus den Kurzbeschreibungen und den teilweise genannten Details zu Kopfgeldzahlungen lässt sich jedoch erahnen, welcher Schaden durch einige der Lücken möglich wäre.

So war Google eine sogenannte Use-after-free-Schwachstelle in Vulkan 10.000 US-Dollar wert (CVE-2022-1477, Risiko hoch). Die quelloffene Vulkan-API ist eine Hardware-nahe Schnittstelle für schnelle 2D- und 3D-Grafikausgaben ähnlich OpenGL. 10.000 US-Dollar sind genau die Summe, die Googles Bug-Bounty-Programm für einen Bericht mit funktionierendem Exploit bezüglich des Ausführens von untergeschobenem Code im Renderer auslobt.

Weitere Use-after-Free-Schwachstellen fanden sich in den Komponenten SwiftShader (CVE-2022-1478, hoch), ANGLE (CVE-2022-1479, hoch), Device API (CVE-2022-1480, hoch) und Sharing (CVE-2022-1481, hoch). Bei einer Use-after-free-Lücke nutzt der Programmcode fälschlicherweise Zeiger oder Speicherbereiche, die jedoch keinen definierten Inhalt haben, da sie bereits wieder freigegeben wurden. Dies führt in der Regel zum Absturz, lässt sich jedoch oftmals zum Ausführen von untergeschobenen Schadcode missbrauchen.

Weiterhin gefährdete eine unangemessene Implementierung in der WebGL-Komponente (CVE-2022-1482, hoch) sowie ein Heap-basierter Pufferüberlauf in WebGPU (CVE-2022-1483, hoch) Chrome-Nutzer. Die weiteren Kurzbeschreibungen der Sicherheitslücken liefert Google in der Versionsankündigung.

Versionsprüfung

Um die aktuelle Version des installierten Webbrowsers zu prüfen, können Chrome-Nutzer oben rechts auf das Einstellungsmenü klicken, das sich hinter dem Symbol mit den drei Punkten verbirgt. Unter "Hilfe" findet sich der Eintrag "Über Google Chrome". Nach dem Klick hierdrauf öffnet sich ein Dialog, der entweder die aktuelle Version anzeigt oder im Falle einer veralteten Version den Download und die Installation der neuen Fassung anstößt.

Linux-Nutzer sind jedoch oftmals auf Paketaktualisierungen ihrer Distribution angewiesen, sodass diese mit der Paketverwaltung ihres Systems nach Updates suchen sollten. Da die Komponenten mit den Schwachstellen auch Bestandteil des Chromium-Projekts sind, ist auch für andere Chromium-basierte Webbrowser wie Microsofts Edge in Kürze ein Versionsupdate zu erwarten.

Siehe auch:

• Google Chrome bei heise Download

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(dmk)