zurück zum Artikel

Webbrowser: Google Chrome 102 schließt 32 Sicherheitslücken

Dirk Knop
Aufmacher Google Chrome 102

Der Webbrowser Google Chrome ist in Version 102 erschienen, die eine große Zahl an Sicherheitslücken abdichtet. Sie soll ungenannte neue Features enthalten.

Google hat den Webbrowser Chrome in Version 102 veröffentlicht – für so ziemlich alle unterstützten Plattformen: für Android in Version 102.0.5005.58/59, iOS in Fassung 102.0.5005.67, für Linux und Mac in Version 102.0.5005.61 und schließlich für Windows mit den Versionsnummern 102.0.5005.61/62/63. Während die Desktop-Browser insgesamt 32 Sicherheitslücken schließen, schreibt Google bezüglich der Mobil-Browser lediglich von enthaltenen Stabilitäts- und Performance-Verbesserungen. Zudem erwähnt Google neue Funktionen des 102er-Entwicklungszweigs, die künftige Blog-Beiträge erläutern sollen – weitere Informationen dazu gibt es bislang nicht.

Zu den geschlossenen Sicherheitslücken äußern sich Googles Entwickler bislang noch nicht, zu einigen schreiben sie lediglich eine äußerst knappe Zusammenfassung. So stufen die Programmierer mindestens eine der Schwachstellen als kritisch ein. Es handelt sich dabei um eine "Use-after-free"-Lücke in der Indexed DB.

Bei Use-after-free-Schwachstellen greift der Programmcode auf Zeiger respektive Speicherbereiche zu, die bereits freigegeben wurden und deren Inhalt dadurch undefiniert ist. Dies führt in der Regel zum Absturz des Prozesses, lässt sich von Angreifern jedoch oftmals auch zur Ausführung eingeschleusten Codes missbrauchen.

Acht weitere Sicherheitslücken stellen für Chrome-Nutzer ein hohes Risiko dar, neun ein mittleres. Sechs weitere Schwachstellen listet Google [1] als niedrige Bedrohung. Zu den acht nicht erwähnten Lücken fehlen sämtliche Hinweise bezüglich Schweregrad und Ursache. Zwar wurden keine erfolgreichen Hacks in Chrome beim jüngsten Pwn2Own-Wettbewerb vom Veranstalter [2] gemeldet, jedoch musste auch Mozilla in Firefox und Thunderbird kritische Sicherheitslücken [3] abdichten, die dort aufgespürt wurden.

Da Google Chrome weite Teile des Codes mit dem Chromium-Projekt teilt, finden sich zumindest einige der Sicherheitslücken erfahrungsgemäß auch in anderen Chromium-basierten Webbrowsern wie Microsoft Edge.

Google will das Update in den kommenden Tagen und Wochen automatisch verteilen. Um die Aktualisierung zu beschleunigen, können Nutzer auf das "Drei-Punkte-Menü" oben rechts neben der Adressleiste klicken und schließlich "Hilfe" - "Über Google Chrome" aufrufen. Entweder wird dort bereits die aktuelle Versionsnummer angezeigt, oder das stößt den Download und die Installation des Updates an.

Siehe auch:

(dmk [5])


URL dieses Artikels:
https://www.heise.de/-7122031

Links in diesem Artikel:
[1] https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_24.html
[2] https://www.heise.de/news/Hacking-Wettbewerb-Pwn2Own-Teams-Ubuntu-und-Windows-11-sind-bereits-gefallen-7101169.html
[3] https://www.heise.de/news/Firefox-Thunderbird-Kritische-Luecken-aus-Hacker-Wettbewerb-Pwn2Own-geschlossen-7104037.html
[4] https://www.heise.de/download/product/google-chrome-57483
[5] mailto:dmk@heise.de