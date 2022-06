Google hat die Version 102.0.5005.115 vom Webbrowser Chrome für Linux, Mac und Windows veröffentlicht. Darin beheben die Entwickler des Unternehmens insgesamt sieben Sicherheitslücken. Mindestens vier davon stufen sie als hohes Risiko ein. Den Browser aus dem Extended-Stable-Channel für Mac und Windows hievt Google ebenfalls auf diesen Stand.

Wie üblich will das Unternehmen Nutzer des Browsers vor Angriffen auf die Schwachstellen schützen, indem es Details dazu eine Zeit lang zurückhält. Andeutungen machen die Programmierer daher nur zu vier Sicherheitslücken, die von externen IT-Sicherheitsforschern gemeldet wurden.

Chrome-Lücken könnten Codeschmuggel erlauben

Aufgrund der ausgelobten Bug-Bounty-Summen, die Google in den Releasenotes zu den Lücken angibt, erlauben einige der Schwachstellen Angreifern wahrscheinlich das Unterschieben von Schadcode. So vergibt das Unternehmen für eine gemeldete Use-after-free-Lücke in WebGPU 10.000 US-Dollar Belohnung (CVE-2022-2007).

Eine Use-after-free-Schwachstelle tritt auf, wenn der Programmcode fälschlicherweise Zeiger oder Speicherbereiche nutzt, die bereits wieder freigegeben wurden. Dadurch enthält der Speicher oder Zeiger keinen definierten Inhalt. Dies führt mindestens zum Absturz der Software. Oftmals lässt sich so ein Fehler jedoch sogar zum Ausführen von untergejubelten Schadcode missbrauchen.

Einen solchen Fehler haben die Programmierer auch in der Grafik-Abstraktionsschicht ANGLE behoben (CVE-2022-2011). Die weiteren Sicherheitslücken mit hohem Schweregrad umfassen einen Speicherzugriff außerhalb der eigentlichen Grenzen in WebGL (CVE-2022-2008) sowie ein Lesezugriff außerhalb der Grenzen der Komponente Compositing (CVE-2022-2010).

Chrome-Aktualisierung forcieren

Zur Prüfung, ob bereits die aktuelle Version des Webbrowsers installiert ist, klicken Chrome-Nutzerinnen und -Nutzer oben rechts im Programm auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei Punkten verbirgt. Unter "Hilfe" findet sich der Menüpunkt "Über Google Chrome". Nach dem Klick darauf öffnet sich ein Dialog, der entweder die aktuelle Version anzeigt oder im Falle einer veralteten Version den Download und die Installation der neuen Fassung anstößt.

Linux-Nutzer sind in der Regel auf Paketaktualisierungen ihrer Distribution angewiesen, sodass diese mit der Paketverwaltung ihres Systems nach Updates suchen sollten. Da Google Chrome auf dem Chromium-Projekt basiert, dürften sich die Sicherheitslücken auch darin wiederfinden – und in darauf basierenden Webbrowsern wie Microsoft Edge. Daher sind für diese Browser in Kürze ebenfalls Sicherheitsaktualisierungen zu erwarten.

