Webbrowser: Weitere Lücke aktiv ausgenutzt, Adobe PDF-Viewer aktualisiert
Google meldet das Ausnutzen einer weiteren Lücke in freier Wildbahn. Die Updates von Edge schließen auch ein Leck im Adobe PDF Viewer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In der vergangenen Woche haben Google und Microsoft eine bereits aktiv ausgenutzte Sicherheitslücke in den Webbrowsern Chrome und dem davon abgeleiteten Edge geschlossen. Google hat die Sicherheitswarnung am Montag dieser Woche ergänzt – eine weitere mit dem Update geschlossene Sicherheitslücke wird nun bereits angegriffen. Adobe warnt zudem vor einer Sicherheitslücke im Adobe PDF Viewer der Edge-Browser, die die Aktualisierungen schließen.
Wer noch nicht sichergestellt hat, dass die Browser auf dem aktuellen Stand sind, sollte das nun schleunigst nachholen: Google hat die Release-Ankündigung aus der vergangenen Woche aktualisiert und erklärt, dass nach der Veröffentlichung bekannt wurde, dass auch die Sicherheitslücke CVE-2024-7965 bereits von Angreifern in der Wildnis missbraucht wird. Es handelt sich um eine "unangemessene Implementierung in V8", der Javascript-Engine des Browsers, das Risiko gilt als "hoch". Sie betrifft damit ebenfalls den Edge-Browser, der das Leck mit dem Update vom vergangenen Freitag schließt.
Weitere Lücke in Adobe PDF-Viewer geschlossen
Eine weitere der mit dem Edge-Update geschlossenen Lücken behandelt die externe Komponente "Adobe PDF Viewer", die eingeschleusten Code aus dem Netz ausführen könnte. Ursache ist Adobe zufolge ein möglicher Schreibzugriff außerhalb der vorgesehenen Speicherbereiche, der beim Anzeigen einer manipulierten Datei auftreten kann (CVE-2024-41879). Laut dem jetzt von Adobe veröffentlichten CVE-Eintrag schätzt Adobe das Risiko als "hoch" ein und kommt auf einen CVSS-Wert von 7.8.
Ob die Aktualisierung bereits installiert ist, lässt sich durch den Aufruf des Versionsdialogs herausfinden. Durch den Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste gelangt man in Chrome über "Hilfe" – "Über Google Chrome" und in Edge über "Hilfe und Feedback" – "Über Microsoft Edge" dorthin. Die Versionsnummer sollte für Edge mindestens 128.0.2739.42 lauten, Google Chrome dichtet die Sicherheitslecks in Version 128.0.6613.84/.85 und neueren ab.
Die Updates stehen seit Mitte respektive Ende der vergangenen Woche bereit. Wer sie noch nicht installiert hat oder unsicher ist, sollte das nun zügig mittels des beschriebenen Aufrufs des Versionsdialogs nachholen.
(dmk)