Mit einer aktualisierten Software-Version schließt Google teils kritische Sicherheitslücken in dem weit verbreiteten Webbrowser. Angreifer könnten eine der Lücken aktiv in freier Wildbahn missbrauchen, da der Hersteller von einem veröffentlichten Exploit berichtet. Insgesamt konnten die Entwickler elf Schwachstellen ausbessern.
Die aktuellen Versionsnummern lauten nun 104.0.5112.101 für Linux und Macsowie 104.0.5112.101/102 für Windows. Mit denselben Versionen ist die Extend-Stable-Version auf dem aktuellen Stand. Auch für iOS liegt eine Aktualisierung auf 104.0.5112.99 vor.
Aufgrund einer unzureichenden Überprüfung von nicht vertrauenswürdigen Eingaben reißt die Intents-Komponente ein Sicherheitsleck mit hohem Risiko in den Webbrowser. Für diese Lücke existiert bereits ein Exploit in freier Wildbahn (CVE-2022-2856). Intents erlaubt Web-Apps, sich für bestimmte Aufgaben anzubieten – beispielsweise als Foto- oder Texteditor.
Smartphone-Nutzer können den App-Store öffnen und dort Aktualisierungen nutzen lassen. Linux-Anwender müssen in der Regel die distributionseigene Paketverwaltung dafür starten.
Da die Schwachstellen in der Regel auch den zugrundeliegenden Chromium-Webbrowser betreffen, dürften die Anbieter darauf basierender Webbrowser wie Microsoft mit Edge aktualisierte Software-Pakete veröffentlichen. Auch hier sollten Nutzer zügig auf bereitstehende Updates prüfen.
Quelle: heise
Die aktuellen Versionsnummern lauten nun 104.0.5112.101 für Linux und Macsowie 104.0.5112.101/102 für Windows. Mit denselben Versionen ist die Extend-Stable-Version auf dem aktuellen Stand. Auch für iOS liegt eine Aktualisierung auf 104.0.5112.99 vor.
Kritische Fehler
Wie üblich veröffentlicht Google in der Update-Meldung noch keine Details zu den Sicherheitslücken. Zu zehn von den elf Schwachstellen liefern die Entwickler eine knappe Beschreibung der betroffenen Komponente. Eine Lücke stufen sie als kritisch ein – sie betrifft das Federated Credential Management (FedCM). Dahinter verbirgt sich eine neue Funktion, die datenschutzfreundliche Identitätsbündelung ermöglichen soll, etwa für passwortlose Log-ins (CVE-2022-2852).Aufgrund einer unzureichenden Überprüfung von nicht vertrauenswürdigen Eingaben reißt die Intents-Komponente ein Sicherheitsleck mit hohem Risiko in den Webbrowser. Für diese Lücke existiert bereits ein Exploit in freier Wildbahn (CVE-2022-2856). Intents erlaubt Web-Apps, sich für bestimmte Aufgaben anzubieten – beispielsweise als Foto- oder Texteditor.
Aktuellen Stand sicherstellen
Ob der Browser auf dem aktuellen Stand ist, lässt sich durch Aufruf des Menüs mittels der Schaltfläche mit den drei Punkten rechts von der Adresszeile, dort dann weiter unter "Hilfe" - "Über Google Chrome" herausfinden. Gegebenenfalls startet das das Herunterladen und Installieren der Aktualisierung und bietet dann den nötigen Browser-Neustart an.Smartphone-Nutzer können den App-Store öffnen und dort Aktualisierungen nutzen lassen. Linux-Anwender müssen in der Regel die distributionseigene Paketverwaltung dafür starten.
Da die Schwachstellen in der Regel auch den zugrundeliegenden Chromium-Webbrowser betreffen, dürften die Anbieter darauf basierender Webbrowser wie Microsoft mit Edge aktualisierte Software-Pakete veröffentlichen. Auch hier sollten Nutzer zügig auf bereitstehende Updates prüfen.
Quelle: heise
