Google Chrome: Lücke erlaubte Codeschmuggel

Wie geplant hat Google den Webbrowser Chrome aktualisiert. Der hat in neuer Version drei Sicherheitslücken weniger. Angreifer hätten mindestens eine der Lücken zum Einschleusen von Schadcode missbrauchen können.

In der Versionsankündigung schreiben Googles Entwickler, dass von den drei Lücken nur eine von externen IT-Forschern gemeldet wurde. Daher veröffentlichen sie dazu nur minimale Informationen.

Chrome: Hochriskante Lücke

Es handelt sich um eine Lücke des Typs Use-after-free, bei der Ressourcen nach ihrer Freigabe erneut genutzt werden, wodurch ihr Inhalt undefiniert ist. Sie betrifft den Performance Manager des Browsers. Im zugehörigen CVE-Eintrag erläutern die Programmierer immerhin, dass Angreifer "möglicherweise eine Heap-basierte Störung" mit einer präparierten HTML-Seite missbrauchen können (CVE-2024-2400, kein CVSS-Wert, Google-Einstufung als Risiko "hoch").

Die jetzt aktuellen Versionsnummern lauten Google Chrome 22.0.6261.119 für Android, 122.0.6261.128 für Linux und 122.0.6261.128/.129 für macOS und Windows. Die Extended Stable-Fassung ist nun bei Version 122.0.6261.129 für Mac und Windows angekommen.

Bereits auf neuem Stand?

Ob die derzeit laufende Chrome-Version bereits auf dem aktuellen Stand ist, verrät der Versionsdialog. Durch Klick auf das Symbol mit den drei übereinander gestapelten Punkten rechts von der Adresszeile öffnet sich das Browser-Menü. Unter "Hilfe" – "Über Google Chrome" ist der Versionsdialog zu finden. Sofern ein Update verfügbar ist, startet das auch den Aktualisierungsvorgang.

Linux-Nutzer starten für das Update üblicherweise die Softwareverwaltung ihrer Distribution. Da andere auf dem Chromium-Projekt aufsetzende Webbrowser wie MIcrosofts Edge die Schwachstellen daraus erben, dürfte auch für diese in Kürze eine Aktualisierung verfügbar sein.

Am vergangenen Mittwoch hatte Google ebenfalls drei Sicherheitslecks in Chrome gestopft. Auch sie waren als hohes Risiko eingestuft.

(dmk)