Google schließt im Webbrowser Chrome teils hochriskante Sicherheitslücken. Aufgrund des Schweregrads der Schwachstellen können Angreifer potenziellen Opfern mit manipulierten Webseiten Schadcode unterschieben.

Mit Detailinformationen zu den behobenen sicherheitsrelevanten Fehlern hält sich Google wie gehabt vornehm zurück. Insgesamt schließen die Entwickler jedoch sechs Schwachstellen, von denen zwei ein hohes Risiko und zwei ein mittleres darstellen. Wie es um die beiden nicht weiter erwähnten Lücken bestellt ist, bleibt offen.

Chrome-Lücke: Hohe Prämie

Eine Schwachstelle in WebTransport, also eines Client-Server-Übertragungsmoduls, das etwa http/3 unterstützt, nutzt Ressourcen nach deren Freigabe, wodurch deren Inhalte undefiniert sind. Derartige Use-after-free-Lücken lassen sich oftmals zum Ausführen von eingeschmuggelten Schadcode missbrauchen. Google war die Meldung 16.000 US-Dollar wert, was für eine reale Bedrohung spricht (CVE-2023-0471). Dem CVE-Eintrag zufolge könnten Angreifer das mit manipulierten HTML-Seiten missbrauchen, um eine Speicherverwürfelung auf dem Heap zu provozieren.

Dieselbe Fehlerart mit gleichem Angriffsvektor und potenziellem Ausgang betrifft die WebRTC-Schnittstelle, die zur Echtzeitkommunikation etwa mittels Mikrofon und Webcam dient. Zwar stuft Google die Lücke ebenfalls als hochriskant ein, aber zahlte der Entdeckerin Cassidy Kim lediglich 3.000 US-Dollar (CVE-2023-0472). Möglicherweise war der Fehlerbericht auch nicht detailliert genug und brachte beispielsweise keinen Proof-of-Concept-Exploit mit, wofür Google deutlich höhere Belohnungen verteilt.

Versionsstand prüfen

Die aktuellen Fassungen für Chrome lauten nun 109.0.5414.119 für Linux und Mac, 109.0.5414.119/.120 für Windows, 109.0.5414.117/.118 für Android und 109.0.5414.112 für iOS. Bei den Mobilbrowsern weisen die Entwickler darauf hin, dass das Release zudem nicht näher erläuterte Stabilitäts- und Performance-Verbesserungen enthalte.

Da die Lücken offenbar eine größere Bedrohung darstellen, sollten Chrome-Nutzerinnen und Nutzer überprüfen, ob sie bereits die aktuelle Version einsetzen. Dazu müssen sie ins Chrome-Menü, das sich mit Klick auf das Symbol mit den drei vertikal gestapelten Punkten rechts der Adressleiste öffnet. Dort unter "Hilfe" - "Über Google Chrome" ist der entsprechende Dialog zu finden. Entweder zeigt der die aktuelle Version an oder das startet das Herunterladen und Installieren der Aktualisierung. Schließlich weist der Dialog auf den nötigen Neustart des Webbrowsers hin und bietet das als Option an.

Der Aufruf des "Über Google Chrome"-Dialogs startet gegebenenfalls das Herunterladen und Installieren des Updates und weist schließlich auf den nötigen Browser-Neustart hin. (Bild: Screenshot)

Linux-Nutzer müssen wie gewohnt die Software-Verwaltung ihrer Distribution für ein Update starten. Da die Schwachstellen in der Regel auch im zugrundeliegenden Chromium-Projekt vorhanden sind, dürfte eine Aktualisierung von anderen darauf basierenden Webbrowsern wie Microsofts Edge ebenfalls in Kürze anstehen.

Erst vor zwei Wochen hat Google den Browser Chrome in Version 109 herausgebracht. Darin hatten die Entwickler ganze 17 Sicherheitslücken gestopft.

(dmk)