Google Chrome: Update schließt mögliche Codeschmuggel-Lücken
Drei Sicherheitslücken schließt Google mit einem Chrome-Update. Angreifer können durch sie womöglich Schadcode einschleusen.
(Bild: Google, Collage heise online/dmk)
Googles Programmierer haben im Webbrowser Chrome drei Sicherheitslücken gestopft. Mindestens zwei davon schätzen sie als hohes Risiko ein. Etwa mit manipulierten Webseiten können Angreifer sie möglicherweise zum Einschleusen von Schadcode missbrauchen.
Eine Lücke betrifft die Browser-Komponente Mojo. Darin haben IT-Forscher eine Use-after-free-Schwachstelle entdeckt. Das bedeutet, dass bereits freigegebene und damit undefinierte Ressourcen wie Zeiger oder Speicherbereiche nochmals genutzt werden. Derartige Lücken lassen sich oftmals nicht nur zum Browser-Crash missbrauchen, sondern führen dann zur Ausführung von untergeschobenem Programmcode. Sorgsam präparierte Webseiten können den Fehler wahrscheinlich provozieren (CVE-2024-1284, kein CVSS-Wert, Risiko laut Google "hoch").
Chromium: Drei Sicherheitslücken, Informationshappen zu zweien davon
Laut Googles Chrome-Versionsankündigung konnte in der 2D-Grafikbibliotek Skia ein Heap-basierter Pufferüberlauf auftreten. Auch das ermöglicht es Angreifern häufig, beliebigen Code auf dem verwundbaren System auszuführen (CVE-2024-1283, kein CVSS-Wert, Google-Einschötzung des Risikos "hoch").
Zur dritten Schwachstelle liefern Googles Entwickler keinerlei Informationen, sie wurde offenbar intern aufgedeckt. Da die anderen Schwachstellen jedoch einen hohen Bedrohungsgrad haben, sollten Nutzerinnen und Nutzer sicherstellen, mit einer fehlerbereinigten Browser-Version im Netz unterwegs zu sein.
Überprüfung der Browser-Version
Die aktuellen Versionen lauten ab dem Mittwoch dieser Woche Google Chrome 121.0.6167.164 für Android, 121.0.6167.160 für Linux und macOS sowie 21.0.6167.160/161 für Windows. Die Extended-Stable-Fassung ist nun bei Stand 120.0.6099.283 für macOS und Windows. Ob der Chrome-Browser bereits aktuell ist, lässt sich im Versionsdialog herausfinden.
(Bild: Screenshot / dmk)
Durch Klick in das Browser-Einstellungsmenü, das über das Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adressleiste geöffnet wird, und dem weiteren Weg zu "Hilfe" – "Über Google Chrome" erscheint der Versionsdialog. Er zeigt den aktiven Stand an und startet bei Bedarf den Aktualisierungsprozess. Da die Chromium-Engine auch in anderen Webbrowsern wie Microsofts Edge zum Einsatz kommt, sollten auch Nutzerinnen und Nutzer dieses Webbrowsers überprüfen, ob dafür bereits ein Update bereitsteht.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
In der vergangenen Woche hatten Googles Entwickler bereits vier Schwachstellen in Chrome ausgebessert. Es handelte sich bei allen um Lücken des Typs "Use-after-free", bei dem Ressourcen nach ihrer Freigabe fälschlicherweise noch mal genutzt werden.
(dmk)
