Google hat Version 103.0.5060.114 des Webbrowsers Chrome für Windows veröffentlicht und schließt darin vier Sicherheitslücken. Mindestens drei davon stuft der Hersteller als hohes Risiko ein. Zudem existiert für eine Sicherheitslücke Exploit-Code in freier Wildbahn, schreiben die Entwickler. Außerdem ist die aktualisierte Fassung 103.0.5060.71 von Chrome für Android verfügbar, die ebenfalls die aktiv missbrauchte Schwachstelle schließt.

Exploit-Code kursiert

Der Fehler, für den bereits Schadcode kursiert, findet sich in WebRTC (Web Real-Time Communication), einer Protokollsammlung für Web-Kommunikation (CVE-2022-2294, Risiko "hoch"). Sicherheitsforscher von Avast haben sie entdeckt und am 01. Juli gemeldet. Nähere Details nennt Google wie üblich noch nicht, um Nutzer zu schützen, bis sie das verfügbare Update installiert haben.

Eine weitere Sicherheitslücke ist vom Typ Type Confusion und betrifft die JavaScript-Engine V8 (CVE-2022-2295, hoch). Bei einer Type Confusion alloziert oder initialisiert der Code eine Ressource wie Pointer, Objekt oder Variable mit einem bestimmten Typ, greift später auf die Ressource jedoch mit einem Datentyp zu, der dazu inkompatibel ist. Das kann zu Zugriffen außerhalb des zugewiesenen Speichers und damit unter Umständen zur Ausführung eingeschleusten Codes führen.

Eine weitere kurz beschriebene Sicherheitslücke betrifft überraschend eine Chrome OS Shell, die der Browser offenbar mitbringt (CVE-2022-2296, hoch). Hier kann eine Use-after-free-Schwachstelle Cyberkriminellen eine Angriffsfläche bieten.

Da eine der Sicherheitslücken bereits in freier Wildbahn ausgenutzt wird, sollten Nutzer rasch überprüfen, ob sie die aktuelle Version einsetzen. Dazu müssen sie auf das "Drei-Punkte-Menü" oben rechts neben der Adressleiste klicken und schließlich "Hilfe" - "Über Google Chrome" aufrufen. Entweder zeigt Chrome dann bereits die aktuelle Versionsnummer an, oder das stößt den Download und die Installation des Updates an.

Da die Sicherheitslücken mehrere Komponenten betreffen, die im zugrundeliegenden Chromium-Projekt ebenfalls genutzt werden – etwa die JavaScript-Engine V8 –, dürften Anbieter anderer auf Chromium basierender Webbrowser in Kürze ebenfalls Aktualisierungen anbieten. Zuletzt hatte Google vor rund zwei Wochen 14 weitere Schwachstellen in dem Webbrowser geschlossen.

