Alert!

Google Chrome: Kritische Schwachstelle bedroht Browser-Nutzer

In Chrome haben Googles Entwickler sieben SicherheitslĂĽcken abgedichtet. Mindestens eine davon stellt ein kritisches Risiko dar.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Stilisierte Grafik: Brennendes Google-Chrome-Logo auf einem Laptop

Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Von
Inhaltsverzeichnis

Sieben Schwachstellen haben Googles Programmierer im Webbrowser Chrome abgedichtet. Mindestens eine davon stufen sie als kritisches Risiko ein. Wer Chrome einsetzt, sollte daher rasch sicherstellen, den aktuellen Softwarestand zu nutzen. Chrome ist ab jetzt zudem als optimierte Version fĂĽr Windows on Arm verfĂĽgbar.

In der Versionsankündigung geben die Google-Entwickler Hinweise zu vier der sieben Sicherheitslücken. Drei wurden offenbar intern aufgespürt, sodass Google Informationen dazu vorerst vollständig zurückhält. Von den vier extern gefundenen Sicherheitslecks stufen die Entwickler eine als kritisches und drei als hohes Risiko ein.

Eine Use-after-free-Lücke betrifft die Angle-Komponente von Chrome, die als WebGL-Engine dient. Dabei nutzt der Programmcode Ressourcen, nachdem diese bereits freigegeben wurden. Das ermöglicht Zugriffe auf Speicherbereiche mit undefinierten Inhalten und lässt sich oft zum Einschmuggeln und Ausführen von Schadcode missbrauchen. Dies scheint kaum Benutzerinteraktion zu erfordern und sich sehr leicht etwa mit manipulierten Webseiten missbrauchen zu lassen, was Google zur Einstufung des Bedrohungsgrads als kritisch veranlasst (CVE-2024-2883, kein CVSS-Wert, Risiko "kritisch").

Zwei weitere Use-after-free-Schwachstellen betreffen die Komponente Dawn (CVE-2024-2885, kein CVSS-Wert, hoch) und WebCodecs (CVE-2024-2886, kein CVSS-Wert, hoch). In WebAssembly kann hingegen eine Type Confusion auftreten, bei der zu verarbeitende Datentypen nicht zu denen im Programmcode passen, was ebenfalls potenziell unbefugte Zugriffe auf Speicherbereiche ermöglicht (CVE-2024-2887, kein CVSS-Wert, hoch).

Die Versionen, die die SicherheitslĂĽcken gestopft haben, lauten Google Chrome 123.0.6312.80 fĂĽr Android, 123.0.6312.86 fĂĽr Linux sowie 123.0.6312.86/.87 fĂĽr macOS und Windows. Die Extemded Stable-Fassung ist noch immer im 122er-Versionszweig unterwegs, dort ist nun 122.0.6261.148 unter macOS und Windows aktuell.

Ob bereits die aktuelle Fassung auf dem Rechner aktiv ist, lässt sich mit dem Versionsdialog von Chrome herausfinden. Der lässt sich durch einen Klick auf das Einstellungsmenü öffnen, das sich hinter dem Smybol mit den drei vertikal gestapelten Punkten rechts von der Adressleiste befindet. Dort ist er unter "Hilfe" – "Über Google Chrome" zu finden.

Der Versionsdialog des Browsers zeigt den aktuell genutzten Softwarestand an und startet bei VerfĂĽgbarkeit die Aktualisierung.

(Bild: Screenshot / dmk)

Der Versionsdialog zeigt die aktuell laufende Fassung an und startet bei Verfügbarkeit den Update-Prozess. An dessen Ende fordert der Dialog zum nötigen Browser-Neustart auf. Unter Linux sorgt die Distributrions-eigene Softwareverwaltung für die Aktualisierung und sollte daher gestartet werden. Android-Nutzer können im Play-Store nachschauen, ob ein Update for Chrome bereitsteht, falls es noch nicht automatisch installiert wurde. Da andere Webbrowser wie Microsofts Edge auf Chromium basieren, dürfte in Kürze auch dafür ein Update bereitstehen.

Google hat neben den Updates auch eine optimierte Version von Chrome für Windows on Arm veröffentlicht. Sie bedient Arm-kompatible Windows-PCs "powered by Snapdragon", wie das Unternehmen in einem Blog-Beitrag ankündigt.

In der vergangenen Woche hat Google sogar zwölf Schwachstellen in Chromium ausgebessert. Davon galt mindestens eine als hochriskant.

(dmk)