Webbrowser: Neue Zero-Day-Lücke in Google Chrome
Im Webbrowser Chrome greifen Cyberkriminelle eine neue Zero-Day-Lücke in freier Wildbahn an. Google verteilt Software-Updates, um die Lücke zu schließen.
Google hat aktualisierte Versionen des Webbrowsers Chrome veröffentlicht, die unter anderem eine bereits in freier Wildbahn angegriffene Sicherheitslücke schließen. Erst in der Nacht zum vergangenen Samstag hatte das Unternehmen ein Notfall-Update herausgegeben [1], um eine bereits missbrauchte Lücke zu schließen.
Insgesamt acht Sicherheitslücken dichtet die aktualisierte Browser-Version ab. Von denen haben fünf externe IT-Forscher gemeldet, sodass Google in den Release-Notes [2] dazu knappe Zusammenfassungen liefert. Von denen gelten vier als hochriskant, eine stellt ein mittleres Risiko dar.
Google Chrome: Zero-Day-Lücke im Browser
Die bereits angegriffene Zero-Day-Schwachstelle findet sich in der 2D-Grafikbibliothek Skia des Webbrowsers und basiert auf einem Integer-Überlauf. Durch den Fehler könnten Angreifer mit bösartig präparierten Webseiten aus der Sandbox ausbrechen (CVE-2023-2136, noch keine CVSS-Einstufung, Risiko "hoch"). Weiter haben die Entwickler zwei Fehler, die Zugriffe außerhalb der aktuell allokierten Speicherbereiche ermöglichten, in der Service Worker API ausgebessert (CVE-2023-2133, CVE-2023-2134; noch ohne CVSS-Wert, Risiko "hoch").
In den DevTools konnten Zugriffe auf Ressourcen nach ihrer Freigabe (use after free) auftreten (CVE-2023-2135, kein CVSS-Wert, Risiko "hoch") und in der sqlite-Datenbank ein Pufferüberlauf auf dem Heap ausgelöst werden (CVE-2023-2137, noch kein CVSS-Wert, Risiko "mittel").
Aktuellen Versionsstand prüfen
Die fehlerbereinigten Software-Stände lauten jetzt Chrome 112.0.5615.135/.136 für Android, 112.0.5615.69 für iOS sowie 112.0.5615.137 für Mac und 112.0.5615.137/138 für Windows. In Chrome lässt sich im Einstellungsmenü rechts von der Adressleiste durch Klick auf das Symbol mit den drei aufeinandergestapelten Punkten und dort weiter über die Unterpunkte "Hilfe" - "Über Google Chrome" der aktuell laufende Versionsstand überprüfen. Gegebenenfalls stößt das den Update-Prozess an und fragt an dessen Ende nach einem Browser-Neustart, um den aktualisierten Code wirksam werden zu lassen.
Eine aktualisierte Linux-Version kündigt Google für "demnächst" an. Sie lässt sich üblicherweise durch die Software-Verwaltung der eingesetzten Linux-Distribution abrufen.
Da die bereits angegriffene Lücke in der Skia-Bibliothek und die weiteren Schwachstellen auch das zugrundeliegende Chromium-Projekt betreffen dürften, sollten in Kürze für darauf basierende Webbrowser wie Microsofts Edge ebenfalls Aktualisierungen bereitstehen. Diese sollten Nutzer zügig anwenden.
(dmk [4])
URL dieses Artikels:
https://www.heise.de/-8971427
Links in diesem Artikel:
[1] https://www.heise.de/news/Notfall-Update-Google-patcht-Zero-Day-Luecke-8964465.html
[2] https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html
[3] https://www.heise.de/security
[4] mailto:dmk@heise.de
Copyright © 2023 Heise Medien