Alert!

Entwickler schließen 37 Sicherheitslücken in Chrome 97

Die Vorgängerversion von Chrome 97 enthielt mindestens eine kritische Sicherheitslücke. Angreifer hätten vermutlich eingeschleusten Code ausführen können.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 15 Beiträge
Aufmacherbild Google Chrome 97 schließt 37 Lücken

(Bild: Carlo Toffolo/Shutterstock.com)

Von
  • Dirk Knop

Von 37 Sicherheitslücken, die im Webbrowser Chrome in Version 97.0.4692.71 abgedichtet wurden, stuft Google wenigstens eine als kritisch ein. Mindestens zehn weitere Lücken erachtet das Unternehmen als hohes, weitere zehn als mittleres und drei als niedriges Risiko. In der Release-Meldung listet Google explizit 24 von externen Sicherheitsforschern gemeldete Schwachstellen mit ihrem Schweregrad auf. Zu den weiteren 13 Sicherheitslecks hält sich Google noch mehr bedeckt.

Generell bleibt Google mit Details zu den geschlossenen Sicherheitslücken äußerst sparsam. Lediglich eine sehr knappe Zusammenfassung und Risikoeinschätzung nennt der Hersteller. Daraus lassen sich nur grobe Rückschlüsse ziehen. So hätten Angreifer vermutlich eine Use-after-free-Lücke in Storage, einer API für Funktionen zum Speichern von Daten, zum Einschleusen von Schadcode missbrauchen können. Dies legt die Risikoeinschätzung "kritisch" zumindest nahe.

Mit hohem Risiko eingestufte Use-after-free-Schwachstellen finden sich etwa in den Screen-Capture-Routinen, Sign-in, Swift-Shader, PDF und Autofill. Auch hier lässt sich vermuten, dass Angreifer sie zur Ausführung von Schadcode missbrauchen hätten können. Außerdem fanden Sicherheitsforscher Heap-Pufferüberläufe mit hohem Risiko und somit wahrscheinlich ähnlichem Schadpotenzial, etwa in den Komponenten Media Streams API, Bookmarks oder ANGLE (einer Grafik-Engine-Abstraktionsschicht).

Weitere Stichpunkte zu den geschlossenen Lücken listen die Entwickler im Google-Chrome-Release-Blog auf. Sie schreiben dort zudem, dass sie weitere Fehlerbehebungen für Schwachstellen implementiert haben, die sie in internen Audits, mittels Fuzzing und anderen Initiativen gefunden hätten. Damit meinen sie wahrscheinlich die in der obigen Aufzählung fehlenden 13 Sicherheitslücken.

Um zu überprüfen, ob bereits die aktuelle Chrome-Version läuft, öffnet ein Klick auf die drei Punkte oben rechts in der Adresszeile das Browser-Menü. Unter "Hilfe" führt der Klick auf "Über Google Chrome" zum Versionsdialog. Hier steht entweder die aktuelle Version, oder der Download wird dadurch angestoßen. Ist der abgeschlossen, erscheint dort eine Schaltfläche, die zum Browser-Neustart auffordert. Dies sollten Chrome-Nutzer unbedingt zeitnah machen.

Lesen Sie auch

Themenseite zu Google Chrome auf heise online

(dmk)