Google hat wie geplant die Version 108 des Webbrowsers Chrome veröffentlicht. Für Endanwender scheinen keine neuen Funktionen bereitzustehen. Allerdings schließen die Entwickler 28 Sicherheitslücken, die die Sicherheit der Nutzerinnen und Nutzer gefährden.
Um die Sicherheit der Browsernutzenden nicht zu gefährden, hält Google Details zu den Schwachstellen einige Zeit zurück. Es gibt lediglich einen Hinweis auf die Art der Lücke und betroffene Komponenten. Aufgrund der Höhe der Belohnung, die Google den Entdeckern der Lücken zahlt, lässt sich in gewissen Grenzen auch deren Gefährdungspotenzial einschätzen.
Wie so oft findet sich etwa in der JavaScript-Engine V8 eine hochriskante Sicherheitslücke aufgrund einer sogenannten Type Confusion. Dabei passen Datentypen bei Übergaben innerhalb des Programmcodes nicht zueinander, was zu unbefugten Speicherzugriffen und unter Umständen gar zur Ausführung eingeschleusten Codes führen kann. Die Belohnung in Höhe von 15.000 US-Dollar für den Entdecker spricht ebenfalls für derartige Auswirkungen (CVE-2022-4174).
Eine weitere Schwachstelle, die Angreifer vermutlich mit manipulierten Webseiten zum Unterschieben von Schadcode missbrauchen können, betrifft die Camera-Capture-Komponente. Der Melder der Lücke erhält dafür 11.000 US-Dollar Belohnung. Es handelt sich dabei um eine Use-after-free-Lücke, bei der Speicherbereiche oder Zeiger genutzt werden, obwohl sie bereits derefenziert wurden. Bei dieser Art von Schwachstelle kann oftmals untergejubelter Code zur Ausführung gelangen (CVE-2022-4175). Für die anderen Schwachstellen schüttet Google weniger Geld zur Belohnung aus oder muss die Höhe noch festsetzen, weshalb sie wahrscheinlich weniger riskant sind.
Um zu prüfen, ob die laufende Chrome-Version aktuell ist, können Nutzerinnen und Nutzer auf das Einstellungsmenü von Chrome klicken, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende müssen sie dann auf "Hilfe", anschließend auf "Über Google Chrome" klicken. Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen.
Da die Schwachstellen auch andere Browser betrifft, die auf dem Chromium-Projekt basieren wie Edge von Microsoft, dürften dafür in Kürze ebenfalls Sicherheitsupdates bereitstehen, die Nutzer zeitnah installieren sollten. Erst Ende vergangener Woche hat Google ein Notfall-Update für Chrome veröffentlicht. Damit schlossen die Entwickler eine bereits aktiv angegriffene Zero-Day-Lücke in dem Webbrowser.
Quelle: heise
Hochriskante Lücken
Von den 28 Schwachstellen stuft Google acht als hohes Risiko ein, während 14 weitere Lecks eine mittlere Bedrohung darstellen. Der Erläuterung in der Release-Meldung von Google zufolge wurden diese 22 Lücken von externen IT-Forschern gemeldet. Informationen zu den sechs übrigen Lücken fehlen vollständig.Um die Sicherheit der Browsernutzenden nicht zu gefährden, hält Google Details zu den Schwachstellen einige Zeit zurück. Es gibt lediglich einen Hinweis auf die Art der Lücke und betroffene Komponenten. Aufgrund der Höhe der Belohnung, die Google den Entdeckern der Lücken zahlt, lässt sich in gewissen Grenzen auch deren Gefährdungspotenzial einschätzen.
Wie so oft findet sich etwa in der JavaScript-Engine V8 eine hochriskante Sicherheitslücke aufgrund einer sogenannten Type Confusion. Dabei passen Datentypen bei Übergaben innerhalb des Programmcodes nicht zueinander, was zu unbefugten Speicherzugriffen und unter Umständen gar zur Ausführung eingeschleusten Codes führen kann. Die Belohnung in Höhe von 15.000 US-Dollar für den Entdecker spricht ebenfalls für derartige Auswirkungen (CVE-2022-4174).
Eine weitere Schwachstelle, die Angreifer vermutlich mit manipulierten Webseiten zum Unterschieben von Schadcode missbrauchen können, betrifft die Camera-Capture-Komponente. Der Melder der Lücke erhält dafür 11.000 US-Dollar Belohnung. Es handelt sich dabei um eine Use-after-free-Lücke, bei der Speicherbereiche oder Zeiger genutzt werden, obwohl sie bereits derefenziert wurden. Bei dieser Art von Schwachstelle kann oftmals untergejubelter Code zur Ausführung gelangen (CVE-2022-4175). Für die anderen Schwachstellen schüttet Google weniger Geld zur Belohnung aus oder muss die Höhe noch festsetzen, weshalb sie wahrscheinlich weniger riskant sind.
Aktuelle Versionsstände
Die Schwachstellen sind in den aktuellen Fassungen nicht mehr vorhanden. Die jetzt aktuellen Versionsnummern lauten 108.0.5359.71 für Linux und Mac, 108.0.5359.71/72 für Windows, 108.0.5359.61 für Android sowie 108.0.5359.52 für iOS. Die Mobilebrowser sollen dieselben Sicherheitslücken schließen wie die Desktop-Versionen, erläutert Google in den Releasenotes für Chrome für Android.Um zu prüfen, ob die laufende Chrome-Version aktuell ist, können Nutzerinnen und Nutzer auf das Einstellungsmenü von Chrome klicken, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende müssen sie dann auf "Hilfe", anschließend auf "Über Google Chrome" klicken. Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen.
Da die Schwachstellen auch andere Browser betrifft, die auf dem Chromium-Projekt basieren wie Edge von Microsoft, dürften dafür in Kürze ebenfalls Sicherheitsupdates bereitstehen, die Nutzer zeitnah installieren sollten. Erst Ende vergangener Woche hat Google ein Notfall-Update für Chrome veröffentlicht. Damit schlossen die Entwickler eine bereits aktiv angegriffene Zero-Day-Lücke in dem Webbrowser.
Quelle: heise