Im Webbrowser Chrome hat Google in der Version 104 vorrangig 27 Sicherheitslücken gestopft. Insbesondere für Entwickler interessant sind zudem aufgebohrte Funktionen, die unter anderem den Bereich von Bildschirmaufnahmen im Browser begrenzen. Für Webentwickler gibt es etwa Verbesserungen für Responsive Designs durch die Unterstützung von sogenannten Media Queries des Level 4.

Abgedichtete Sicherheitslecks

Google berichtet, dass die Entwickler 27 Sicherheitslücken in der neuen Fassung ausgebessert haben. Details nennt das Unternehmen zum Schutz der Nutzer wie üblich noch keine, zudem führt es einige der Lücken gar nicht explizit auf. Daher lässt sich aus der Auflistung lediglich ableiten, dass mindestens sieben der Lücken ein hohes Risiko darstellen und 15 ein mittleres. Der Schweregrad von fünf Schwachstellen bleibt unklar.

Eine der Lücken hat dem Entdecker ein Kopfgeld von 15.000 US-Dollar eingebracht. Dieser Betrag deutet darauf hin, dass Angreifer dadurch Nutzern Schadcode unterschieben können, ohne viel Interaktion zu benötigen.

Bei den weiteren Features der Version 104 listet Google unter anderem eine Beschleunigung beim Laden von Webressourcen durch einen neuen Ansatz beim sogenannten Subresource-loading mit Web Bundles. Außerdem haben die Entwickler die Multi-Screen Windows Placement-API aufgebohrt, sodass Webseiten mit einer Geste des Nutzers einen Vollbild-Companion-Bildschirm nutzen können.

Die aktuellen Fassungen Chrome 104.0.5112.79 für Mac und Linux sowie 104.0.5112.79/80/81 für Windows sollten automatisch auf dem Rechner von Nutzern landen, schreibt Google in der Sicherheitsmeldung. Die aktuelle Version lässt sich alternativ auch mit dem Einstellungsmenü durch den Klick auf das Symbol mit den drei Punkten neben der Adresszeile und dort dem Menüpfad "Hilfe" - "Über Google Chrome" einsehen. Bei einer veralteten Fassung startet das den Update-Vorgang. Linux-Nutzer müssen hingegen die Paketverwaltung ihrer Distribution bemühen, um damit die aktualisierte Fassung herunterzuladen und zu installieren.

Kritische Sicherheitslücke in Microsoft Edge

Die Fehler betreffen in der Regel auch den zugrundeliegenden Chromium-Webbrowser und finden sich in darauf basierenden Projekten wieder. So hat auch Microsoft inzwischen mit dem Edge-Webbrowser den Sprung auf die Version 104 (104.0.1293.47) vollzogen. Darin behebt der Hersteller zudem drei Edge-spezifische sicherheitsrelevante Fehler.

Angreifer könnten etwa Opfer auf eine manipulierte Webseite locken, die aus der Browser-Sandbox ausbrechen und so Schadcode ausführen kann (CVE-2022-33649, CVSS 9.6, Risiko "kritisch"). Ein ähnliches Ergebnis könnte eine Race-Condition im Webbrowser-Code haben (CVE-2022-33636, CVSS 8.3, hoch). Schließlich könnte in älteren Edge-Versionen eine Rechtausweitung etwa bei einem Klick auf einen Link auf einer bösartig manipulierten Webseite auftreten (CVE-2022-35796, CVSS 7.5, hoch). Aufgrund der nötigen Interaktionen stuft Microsoft die letzte Lücke aber abweichend vom CVSS-Standard als moderat ein.

Das Edge-Update sollten Administratoren und Nutzer ebenfalls zügig installieren, um die Angriffsfläche zu minimieren. Angreifer nutzen solche Sicherheitslücken in der Regel rasch aus, um Kontrolle über die Geräte ihrer Opfer zu erlangen. So wurde etwa eine Zero-Day-Schwachstelle in Google Chrome vor vier Wochen bereits aktiv missbraucht, als der Hersteller ein Update zum Abdichten des Lecks veröffentlichte.

Google Chrome bei heise Download

(dmk)