Alert!

Webbrowser: Google Chrome-Update dichtet LĂĽcke mit hohem Risiko ab

Google schließt mit dem Update von Chrome eine hochriskante Sicherheitslücke, die Webseiten offenbar das Unterschieben von Schadcode ermöglicht.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen

(Bild: Google, Collage heise online/dmk)

Lesezeit: 2 Min.
Von

Google schließt mit dem wöchentlichen Chrome-Update eine als hochriskant eingestufte Sicherheitslücke. Aufgrund der Einstufung ist davon auszugehen, dass manipulierte Webseiten das Leck zum Unterschieben von Schadcode missbrauchen können. Mit Details dazu geizt das Unternehmen jedoch wie üblich.

In der Versionsankündigung erläutert Google lediglich knapp, dass es sich um eine Schwachstelle des Typs Use-after-free in der WebAudio-Komponente des Browsers handelt (CVE-2023-5996, kein CVSS, Risiko laut Google "hoch"). Bei dieser Fehlerart greift der Programmcode auf Ressourcen zu, die zuvor bereits wieder freigegeben wurden. Deren Inhalte sind daher undefiniert. Oftmals können Angreifer diesen Sicherheitslücken-Typ zum Einschleusen und Ausführen beliebigen Programmcodes missbrauchen.

Die Schwachstelle ist in Google Chrome 119.0.6045.123 fĂĽr Linux und Mac sowie 119.0.6045.123/.124 fĂĽr Windows nicht mehr enthalten. Zudem haben die Entwickler den Browser im Extended Stable-Kanal auf die Version 118.0.5993.136 fĂĽr Mac und Windows gehievt, ohne jedoch die Ă„nderungen darin in den Release Notes aufzulisten.

Die neue Fassung ist etwa über den Versionsdialog zu erhalten. Der findet sich im Browser-Menü, das sich durch Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste und dort weiter unter den Punkten "Hilfe" – "Über Google Chrome" findet. Das zeigt die aktuelle Version an oder startet den Update-Vorgang.

Der Versionsdialog von Google Chrome zeigt die aktuell laufende Browser-Fassung an und startet bei Bedarf, wie hier zu sehen, den Update-Vorgang.

(Bild: Screenshot / dmk)

Linux-Nutzer mĂĽssen in der Regel die Softwareverwaltung ihrer Distribution zur Aktualisierung bemĂĽhen. Die Schwachstelle betrifft das Chromium-Projekt, auf dem auch Webbrowser anderer Anbieter wie Microsofts Edge basieren. DafĂĽr dĂĽrfte in KĂĽrze daher ebenfalls eine Aktualisierung bereitstehen, die Nutzerinnen und Nutzer zeitnah installieren sollten.

In der vergangenen Woche hatte Google 15 Sicherheitslücken im Chrome-Browser gestopft. Zudem haben die Entwickler HTTPS-Upgrade für alle scharfgeschaltet, wodurch der Browser zunächst versucht, eine verschlüsselte Verbindung zum Zielserver aufzubauen.

(dmk)