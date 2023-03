Google hat im Webbrowser Chrome in der aktualisierten Version acht Sicherheitslücken gestopft. Angreifer könnten durch die Schwachstellen Schadcode einschmuggeln, etwa mit manipulierten Webseiten oder PDF-Dateien.

Noch keine Details zu den Lücken

Wie üblich, hält Google sich in der Versionsankündigung mit Details zu den Lücken zum Schutz der Nutzerinnen und Nutzer noch zurück. Zu den von externen IT-Sicherheitsforschern gemeldeten Schwachstellen liefert der Hersteller jedoch kurze Zusammenfassungen. Von den acht Lücken haben sieben davon externe IT-Forscher gefunden, und die Google-Entwickler stufen deren Risiko als "hoch" ein.

Für eine in der Passwort-Verwaltung entdeckte Schwachstelle hat Google 10.000 US-Dollar Belohnung ausgeschüttet. Sie ermöglichte Angreifern aus der Ferne das Ausführen von Schadcode – mit manipulierten Webseiten nach Kompromittierung des Render-Prozesses aufgrund einer Use-after-free-Lücke (CVE-2023-1528). Ebenso hätten Angreifer mit manipulierten Webseiten und PDF-Dateien im PDF-Modul von Chrome eine Use-after-free-Schwachstelle zum Unterschieben von Schadcode missbrauchen können (CVE-2023-1530).

Zwei Schwachstellen hat Googles Project Zero gemeldet, sie betreffen die Komponenten GPU-Video und Angle. Sie werden offenbar jedoch noch nicht in freier Wildbahn angegriffen, zumindest erwähnt Google in der Meldung nichts davon. Weitere hochriskante Lücken fanden sich zudem in WebHID und WebProtect. Chrome-Nutzer sollten sicherstellen, dass sie die aktuelle Version einsetzen, um nicht Opfer von Angriffen zu werden.

Aktuell sind die Chrome-Versionen 111.0.5563.115/.116 für Android, 111.0.5563.101 für iOS, 111.0.5563.110 für Linux und Mac sowie 111.0.5563.110/.111 für Windows. Ohne weitere Details zu nennen, haben Googles Entwickler zudem die Extended Stable-Version von Chrome für Mac und Windows auf den Stand 110.0.5481.208 gehievt.

Aktuellen Stand prüfen

Ob Chrome auf dem aktuellen Stand ist, lässt sich durch den Aufruf des Einstellungsmenüs über das Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adressleiste und dem Pfad "Hilfe" – "Über Chrome" herausfinden.

Der Aufruf des Chrome-Versionsdialogs startet gegebenenfalls den Aktualisierungsprozess. Am Ende steht noch ein Browser-Neustart an, der hier ebenfalls ausgelöst werden kann. (Bild: Screenshot/dmk)

Der Versions-Dialog zeigt die aktuell genutzte Fassung an und startet gegebenenfalls den Aktualisierungsprozess des Webbrowsers. Dort lässt sich im Anschluss auch der nötige Browser-Neustart anstoßen. Unter Linux ist meist die Distributions-eigene Softwareverwaltung für das Verteilen von Updates verantwortlich. Linux-Nutzer sollten sie daher starten und nach Aktualisierungen suchen lassen.

Da die Lücken auch im zugrundeliegenden Chromium-Projekt enthalten sind, dürften darauf basierende Webbrowser wie Microsofts Edge in Kürze ebenfalls in aktualisierter Version vorliegen. Vor zwei Wochen hatte Google den 111er-Entwicklungszweig von Chrome veröffentlicht. Darin hatten die Entwickler insgesamt 40 Sicherheitslücken geschlossen.

(dmk)