Kurze Zeit nach der Aktualisierung auf Version 100 haben die Google-Entwickler vom Webbrowser Chrome eine neue Fassung veröffentlicht, die eine Sicherheitslücke schließt. Abermals ist die JavaScript-Engine V8 betroffen. Das Risiko durch die Lücke stuft Google als hoch ein.

Die Version 100.0.4896.75 steht für Linux, Mac und Windows bereit und soll automatisch im Laufe der kommenden Tage und Wochen verteilt werden. Die Sicherheitslücke, die die Entwickler damit schließen, ist abermals vom Typ "Type Confusion" (CVE-2022-1232, Risiko hoch).

Keine Details

Nähere Details zur Schwachstelle fehlen wie üblich. Die Lücke wurde vom Mitarbeiter Sergei Glazunov von Googles Project Zero gemeldet. Bei einer Type Confusion prüft die Software den Typ übergebener Daten nicht korrekt. Dabei können Daten fehlinterpretiert oder beispielsweise aufgrund fehlender Typumwandlung in unterschiedlich große Datenstrukturen umkopiert werden; denkbar sind in der Folge Pufferüberläufe, die etwa in Kombination mit einer Use-after-Free-Schwachstelle in der Ausführung untergejubelten Programmcodes münden.

Anders als bei dem Notfall-Update von Chrome vor etwas über einer Woche ist derzeit noch kein Schadcode in freier Wildbahn gesichtet worden, der die Lücke zum Kompromittieren von Rechnern von Chrome-Nutzern missbraucht. In der Meldung im Chrome-Release-Blog schreiben die Entwickler, dass auch der Extended Stable Release auf die Version 100.0.4896.75 gehievt wurde.

Google schreibt natürlich nicht, dass auch andere Browser von der Schwachstelle betroffen sind. Jedoch ist die JavaScript-Engine V8 auch im Chromium-Projekt und im Chromium-basierten Microsoft Edge enthalten. Hier dürften in Kürze ebenfalls Aktualisierungen bereitstehen, da die Sicherheitslücke auch diese Browser betreffen dürfte.

Um die Aktualisierung zu beschleunigen, können Nutzer auf das "drei-Punkte-Menü" oben rechts neben der Adressleiste klicken und schließlich "Hilfe" - "Über Google Chrome" aufrufen. Entweder wird dort bereits die aktuelle Versionsnummer angezeigt, oder das stößt den Download und die Installation des Updates an.

