Update für Google Chrome schließt sechs Sicherheitslücken
Google hat aktualisierte Chrome-Versionen herausgegeben. Sie schließen sechs Sicherheitslücken, davon mehrere mit hohem Risiko.
(Bild: Google, Collage heise online/dmk)
Die Google-Entwickler haben dem Webbrowser Chrome mehrere Sicherheitslücken ausgetrieben. Insgesamt sechs Schwachstellen dichten die neuen Versionen, die im Laufe des Mittwochs dieser Woche veröffentlicht wurden, in dem populären Webbrowser ab.
Von den sechs Sicherheitslücken wurden vier von externen IT-Forschern gemeldet, weshalb es nur dazu kurze Zusammenfassungen gibt. Das Risiko aller vier Schwachstellen stufen die Entwickler als "hoch" ein. Zwei davon betreffen die Komponente Angle, die für das Rendern von WebGL oder OpenGL ES-Inhalte genutzt werden kann. Eine Lücke ist vom Typ Use-after-free, basiert also darauf, dass auf Ressourcen nach ihrer Freigabe zugegriffen wird, wodurch sie undefiniert sind und oftmals das Ausführen von Schadcode ermöglichen (CVE-2024-0222). Zudem kann ein Heap-basierter Pufferüberlauf darin auftreten, was aufgrund der Risikoeinstufung manipulierten Webseiten wahrscheinlich ebenfalls das Einschleusen von Schadcode ermöglichen kann (CVE-2024-0223).
Mindestens vier Lücken mit hoher Gefahreneinstufung
Die Angle-Software nutzen auch andere Browser und Frameworks. Ob die Fehler auch diese betreffen, ist derzeit jedoch unklar. Zwei weitere Use-after-free-Lücken mit hohem Risiko betreffen zudem die WebAudio- sowie die WebGPU-Module (CVE-2024-0224, CVE-2024-0225).
Die Google-Entwickler schreiben in ihrer Versionsankündigung, dass die Versionen Chrome 120.0.6099.193 für Android, 120.0.6099.199 für Linux und Mac sowie 120.0.6099.199/200 für Windows die Lücken nicht mehr aufweisen. Zudem haben sie die Extended-Stable-Fassungen auf die Versionsstände 120.0.6099.199 für Mac und 120.0.6099.200 für Windows gehoben.
Am Dienstag hat die US-Cybersicherheitsbehörde CISA die Zero-Day-Lücke in Chrome in den "Known Exploited Vulnerabilities"-Katalog aufgenommen, die der Hersteller kurz vor Weihnachten ausgebessert hatte. Die Aktualisierungen sollten Chrome-Nutzerinnen und -Nutzer daher unbedingt zeitnah anwenden. Insbesondere nach der Urlaubszeit rund um Weihnachten, Silvester und Neujahr sind wahrscheinlich viele Computer längere Zeit ausgeschaltet gewesen und müssen jetzt zügig auf den aktuellen Stand gebracht werden.
Versionsprüfung
Um die aktuell laufende Version von Chrome anzuzeigen, muss das Browser-Menü durch Klick auf das Symbol mit den drei übereinanderliegenden Punkten rechts von der Adressleiste angeklickt werden. Der weitere Weg führt dann über "Hilfe" – "Über Google Chrome". Das öffnet den Versionsdialog, der auch verfügbare Updates anzeigt und per Mausklick deren Herunterladen und Installation anstößt. Unter Linux zeichnet in der Regel die Softwareverwaltung der eingesetzten Distribution für das Update verantwortlich, die daher dafür aufgerufen werden sollte.
Da die Lücken sehr wahrscheinlich auch andere auf Chromium basierende Webbrowser wie Microsoft Edge betrifft, sollten Nutzerinnen und Nutzer dieser Browser ebenfalls prüfen, ob Aktualisierungen dafür bereitstehen. Der Weg sieht in der Regel ähnlich wie bei Chrome aus.
(dmk)