Google aktualisiert den Webbrowser Chrome. Das Update schließt hochriskante Sicherheitslücken. Eine davon wird bereits missbraucht.

Googles Entwickler schließen mit einem Update des Webbrowsers Chrome mehrere Sicherheitslücken, von denen eine bereits in freier Wildbahn angegriffen wird. Insgesamt dichtet die neue Fassung vier Sicherheitslecks ab. Wer Chrome oder darauf basierende Browser nutzt, sollte das Update zügig anwenden.

Bei der bereits angegriffenen Schwachstelle handelt es sich laut Googles Release-Benachrichtigung um einen Speicherzugriff außerhalb der vorgesehenen Grenzen in der Javascript-Engine V8 (CVE-2024-0519, kein CVSS-Wert, Risiko laut Google “hoch“). Zudem können Angreifer etwa mit manipulierten Webseiten eine Schwachstelle der Art “Type confusion” in V8 missbrauchen, wobei übergebene Datentypen nicht mit denen im Programmcode vorgesehenen übereinstimmen, was ebenfalls zu Zugriffen auf nicht dafür vorgesehene Speicherbereiche führen kann (CVE-2024-0518, kein CVSS-Wert, hoch).

Schreibzugriffe außerhalb der Speichergrenzen sind durch eine weitere Schwachstelle in der V8-Engine möglich – der Melder der Lücke erhält von Google sogar 16.000 US-Dollar Belohnung (CVE-2024-0517, kein CVSS-Wert, hoch). Zu der vierten Lücke gibt Google keinerlei Hinweise, da sie offenbar nicht von externen IT-Sicherheitsforschern gemeldet wurde.

Die Fehler korrigieren die Versionen Chrome 120.0.6099.230 für Android, 121.0.6167.66 für iOS, 120.0.6099.224 für Linux, 120.0.6099.234 für macOS sowie 120.0.6099.224/225 für Windows. Die Extended Stable-Fassung für macOS und Windows tragen ebenfalls diese Versionsnummern.

Ob bereits die aktuelle und fehlerbereinigte Version von Google Chrome läuft, lässt sich im Versionsdialog überprüfen. Der zeigt den aktuellen Software-Stand an und startet bei Bedarf den Update-Prozess.

 

 

 

Falls Chrome noch nicht auf dem aktuellen Stand ist, startet der Versionsdialog die Aktualisierung des Webbrowsers.

(Bild: Screenshot / dmk)

Der Dialog lässt sich durch Klick auf das Symbol mit den drei vertikal gestapelten Punkten und den weiteren Weg “Hilfe” – “Über Google Chrome” öffnen. Wer Chrome in Linux nutzt, sollte die Software-Verwaltung der eingesetzten Distribution starten und nach dem Update suchen lassen. Da der Chromium-Browser mitsamt seiner Javascript-Engine auch als Basis für andere Webbrowser wie Microsofts Edge dient, sollten Nutzerinnen und Nutzer dieser Browserebenfalls prüfen, ob bereits eine Aktualisierung verfügbar ist und diese anwenden.

Beim turnusgemäßen Chrome-Update der vergangenen Woche haben die Entwickler eine Sicherheitslücke darin ausgebessert. Sie galt ebenfalls als hohes Risiko.