Webbrowser: Google-Chrome-Update schließt kritische Sicherheitslücke
Google hat das wöchentliche Chrome-Update herausgegeben. Es schließt 20 Sicherheitslücken, von denen mindestens eine als kritisch gilt.
Googles Entwickler korrigieren mit dem wöchentlichen Sicherheitsupdate gleich 20 sicherheitsrelevante Fehler im Webbrowser Chrome. Mindestens eine der Sicherheitslücke stufen die Programmierer als kritisches Risiko ein.
Wie immer deutet Google in der Versionsankündigung nur knapp an, um was für Schwachstellen es sich handelt. Kurzinformationen gibt es zu lediglich 14 der 20 Lecks, da diese von externen IT-Sicherheitsforschern gemeldet wurden. Von denen stufen die Google-Mitarbeiter eine als kritisch ein, acht als mittleres Risiko und fünf als niedrigen Bedrohungsgrad.
Webbrowser Chrome: Eine Lücke ist kritisch
Die schwerwiegendste Schwachstelle betrifft die Site-Isolation-Komponente von Chrome. Darin können Angreifer eine Use-after-free-Lücke missbrauchen, um offenbar Schadcode auszuführen (CVE-2023-5218, kein CVSS-Wert, Risiko laut Google "kritisch"). Bei diesem Schwachstellen-Typ greift der Programmcode auf bereits freigegebene Ressourcen wie Pointer oder Speicherbereiche zu, was Angreifer oftmals zur Ausführung eingeschleusten Codes ausnutzen können.
Insgesamt hat Google 30.500 US-Dollar Belohnung für die gemeldeten Fehler ausgeschüttet, dazu kommt der noch zu ermittelnde Betrag für die kritische Schwachstelle. Die Lücken werden offenbar noch nicht in freier Wildbahn missbraucht.
Aktualisierte Browser
Die Lücken korrigieren die Versionen Google Chrome 118.0.5993.65 für Android, 118.0.5993.69 für iOS, 118.0.5993.70 für Linux und Mac sowie 118.0.5993.70/.71 für Windows. Unter Linux bringt die Distributions-eigene Software-Verwaltung den Webbrowser auf den aktuellen Stand, bei den Mobilgeräten sind die jeweiligen App-Stores dafür zuständig. Ansonsten führt der Weg über das Einstellungsmenü, dass sich hinter dem Symbol mit den drei gestapelten Punkten rechts von der Adressleiste findet, und dort weiter über "Hilfe" – "Über Google Chrome" zum Versionsdialog.
(Bild: Screenshot / dmk)
Der zeigt die aktuell laufende Browser-Version an und startet bei Verfügbarkeit das Herunterladen und Installieren der Aktualisierung. Am Ende fordert er zudem zum Browser-Neustart auf, um die fehlerbereinigte Software zu aktivieren. Da die Sicherheitslücken auch das Chromium-Projekt betreffen, dürften darauf basierende Webbrowser wie Microsofts Edge in Kürze ebenfalls mit Aktualisierungen versehen werden. Nutzerinnen und Nutzer dieser Browser sollten daher ebenfalls sicherstellen, den aktuellen Stand einzusetzen. Auch Edge kennt solch einen Versionsdialog, der gegebenenfalls Aktualisierungen für die Software anwendet.
In der Nacht zum Mittwoch der vergangenen Woche hatte Google lediglich eine als hochriskant eingestufte Schwachstelle im Webbrowser ausgebessert.
(dmk)
