Webbrowser: Vier Schwachstellen weniger nach Google Chrome-Update
Google hat mit dem wöchentlichen Update vier Sicherheitslücken geschlossen, von denen mindestens zwei als hochriskant gelten.
(Bild: Google, Collage heise online/dmk)
Googles Entwickler haben in der jetzt veröffentlichten aktualisierten Fassung des Webbrowsers Chrome vier Sicherheitslücken geschlossen. Mindestens zwei davon gelten dem Hersteller als hochriskant. Etwa mit manipulierten Webseiten können Angreifer vermutlich Schadcode einschleusen und ausführen – die konkreten Auswirkungen und Auslöser benennt Google jedoch nicht.
In der Versionsankündigung von Googles Programmierern geben sie lediglich Hinweise zu zwei der Schwachstellen. Demnach wurden zwei intern gefunden, zu denen das Unternehmen zunächst jedwede Information zurückhält.
Hohes Risiko im Google Chrome-Browser
Eine der Schwachstellen betrifft die Garbage Collection von Chrome. Die greift unter nicht erläuterten Umständen auf Ressourcen zu, die im Programmfluss zuvor freigegeben wurden – eine Use-after-free-Lücke. Angreifer können diese oftmals zum Einschleusen und Ausführen von Schadcode missbrauchen (CVE-2023-5997, noch kein CVSS, Risiko laut Google "hoch"). Der Entdecker soll von Google für die Meldung 10.000 US-Dollar Belohnung erhalten. Eine zweite Lücke betrifft die Navigation des Browsers. Auch hier können Angreifer auf nicht erläuterten Wegen eine solche Use-after-free-Schwachstelle missbrauchen (CVE-2023-6112, kein CVSS, hoch). Eine Belohnung ist offenbar dafür nicht verfügbar, vermutlich, da die Meldung von einem Mitarbeiter von Googles Project Zero kam.
Google schreibt jedoch nicht, dass eine der Schwachstellen bereits in freier Wildbahn missbraucht wurde. Dennoch ist die zügige Aktualisierung anzuraten.
Browser-Versionsprüfung
Die Versionen Google Chrome 119.0.6045.163 für Android, 119.0.6045.169 für iOS, 119.0.6045.159 für Linux und macOS sowie 119.0.6045.159/.160 für Windows enthalten die aufgeführten Fehler nicht mehr. Die Extended-Stable-Version von Chrome hieven Googles Entwickler auf den Stand 118.0.5993.144 für macOS und Windows, ohne jedoch die Änderungen zu benennen. Ob die aktuelle Fassung bereits läuft, verrät der Versionsdialog des Browsers. Der lässt sich im Browser-Einstellungsmenü, das sich durch Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste befindet, und dem weiteren Weg über "Hilfe" – "Über Google Chrome" aufrufen.
(Bild: Screenshot / dmk)
Gegebenenfalls löst das auch den Update-Prozess aus. Wer Chrome auf mobilen Geräten einsetzt, erhält das Update automatisch über den jeweiligen App-Store. Linux-Nutzer müssen dazu in der Regel die Softwareverwaltung ihrer Distribution starten, um damit nach Aktualisierungen zu suchen und sie zu installieren. Die Lücken betreffen das zugrundeliegende Chromium-Projekt. Darauf basierende Browser wie Microsofts Edge sollten daher in Kürze ebenfalls eine Aktualisierung erhalten, um die Sicherheitslecks zu stopfen.
In der vergangenen Woche hatte Google lediglich eine Sicherheitslücke in Chrome geschlossen. Diese war jedoch ebenfalls in der Risikostufe "hoch" einsortiert.
(dmk)
