Webbrowser: Google Chrome-Update dichtet Lücke mit hohem Risiko ab
Google schließt mit dem Update von Chrome eine hochriskante Sicherheitslücke, die Webseiten offenbar das Unterschieben von Schadcode ermöglicht.
(Bild: Google, Collage heise online/dmk)
Google schließt mit dem wöchentlichen Chrome-Update eine als hochriskant eingestufte Sicherheitslücke. Aufgrund der Einstufung ist davon auszugehen, dass manipulierte Webseiten das Leck zum Unterschieben von Schadcode missbrauchen können. Mit Details dazu geizt das Unternehmen jedoch wie üblich.
In der Versionsankündigung erläutert Google lediglich knapp, dass es sich um eine Schwachstelle des Typs Use-after-free in der WebAudio-Komponente des Browsers handelt (CVE-2023-5996, kein CVSS, Risiko laut Google "hoch"). Bei dieser Fehlerart greift der Programmcode auf Ressourcen zu, die zuvor bereits wieder freigegeben wurden. Deren Inhalte sind daher undefiniert. Oftmals können Angreifer diesen Sicherheitslücken-Typ zum Einschleusen und Ausführen beliebigen Programmcodes missbrauchen.
Google Chrome: Abgesicherte Desktop-Versionen
Die Schwachstelle ist in Google Chrome 119.0.6045.123 für Linux und Mac sowie 119.0.6045.123/.124 für Windows nicht mehr enthalten. Zudem haben die Entwickler den Browser im Extended Stable-Kanal auf die Version 118.0.5993.136 für Mac und Windows gehievt, ohne jedoch die Änderungen darin in den Release Notes aufzulisten.
Die neue Fassung ist etwa über den Versionsdialog zu erhalten. Der findet sich im Browser-Menü, das sich durch Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste und dort weiter unter den Punkten "Hilfe" – "Über Google Chrome" findet. Das zeigt die aktuelle Version an oder startet den Update-Vorgang.
(Bild: Screenshot / dmk)
Linux-Nutzer müssen in der Regel die Softwareverwaltung ihrer Distribution zur Aktualisierung bemühen. Die Schwachstelle betrifft das Chromium-Projekt, auf dem auch Webbrowser anderer Anbieter wie Microsofts Edge basieren. Dafür dürfte in Kürze daher ebenfalls eine Aktualisierung bereitstehen, die Nutzerinnen und Nutzer zeitnah installieren sollten.
In der vergangenen Woche hatte Google 15 Sicherheitslücken im Chrome-Browser gestopft. Zudem haben die Entwickler HTTPS-Upgrade für alle scharfgeschaltet, wodurch der Browser zunächst versucht, eine verschlüsselte Verbindung zum Zielserver aufzubauen.
(dmk)
