Webbrowser: Google-Chrome-Update schließt zwei Sicherheitslücken
Mit dem jetzt erschienenen Update bessern die Entwickler von Google Chrome zwei Schwachstellen aus. Webseiten können vermutlich Schadcode einschleusen.
In der Nacht zum Mittwoch hat Google das wöchentliche Browser-Update für Chrome veröffentlicht. Darin schließen die Entwickler zwei Sicherheitslücken. Lediglich zu einer davon gibt es knappe Hinweise.
Google gibt lediglich zu von externen IT-Forschern gemeldeten Schwachstellen kurze Informationen heraus. Zu Lecks, die die Entwickler selbst entdeckt haben, halten sie sich komplett zurück. Eine der beiden jetzt geschlossenen Lücken ist vom Typ "Use-after-free" in der Profile-Komponente, bei dem Zugriffe auf Ressourcen stattfinden, die zuvor bereits freigegeben wurden und daher undefinierte Inhalte aufweisen. Solche Fehler können Angreifer oftmals zum Einschleusen und Ausführen von Schadcode missbrauchen. In der Regel reicht dazu der Besuch einer präparierten respektive kompromittierten Webseite mit dem verwundbaren Webbrowser aus.
Google Chrome: Hochriskante Sicherheitslücke
Diese Sicherheitslücke mit der CVE-Nummer CVE-2023-5472 stufen die Google-Programmierer als hohes Risiko ein, einen CVSS-Wert nennen sie jedoch nicht. Die Entdecker der Schwachstelle erhalten von Google 3.000 US-Dollar Prämie für ihre Meldung. Zu der zweiten geschlossenen Sicherheitslücke gibt es keine Informationen in Googles Versionsankündigung, sie wurde offenbar intern gefunden.
Die fehlerbereinigten Versionsstände lauten 118.0.5993.111 für Android, 119.0.6045.41 für iOS, 118.0.5993.117 für Linux und Mac sowie 118.0.5993.117/.118 für Windows. Auch im Extended-Stable-Kanal hat das Unternehmen aktualisierte Software veröffentlicht, dort ist nun Chrome 118.0.5993.117 für Mac und 118.0.5993.118 für Windows der neue Stand.
Im Einstellungsmenü des Browsers, das sich durch Klick auf das Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adressleiste öffnet, findet sich unter "Hilfe" – "Über Google Chrome" der Versionsdialog. Der bringt den Webbrowser auf den aktuellen Stand, sofern ein Update verfügbar ist. Auf Mobilgeräten zeichnen für die Update-Verteilung hingegen die jeweiligen App-Stores verantwortlich. Unter Linux verteilt die Distributions-eigene Software-Verwaltung üblicherweise die bereitstehenden Aktualisierungen.
Da die Sicherheitslücken das Chromium-Projekt betreffen, sind in Kürze auch Aktualisierungen für darauf basierende Webbrowser – etwa Microsoft Edge – zu erwarten. Die Nutzer dieser Browser sollten die Aktualisierung ebenfalls zügig anstoßen.
In der vergangenen Woche hatten die Google-Entwickler eine Sicherheitslücke im Chrome-Browser geschlossen. Zu der Lücke hatten sie jedoch keinerlei Informationen herausgegeben.
Spät am Abend hat Google auch ein Chrome-Update für iOS veröffentlicht. Es trägt die Versionsnummer 119.0.6045.41.
(dmk)