Google aktualisert den Webbrowser Chrome auf allen Plattformen und schließt dabei zehn teils hochriskante Sicherheitslücken. Angreifer könnten die Schwachstellen missbrauchen, um mit präparierten Webseiten potenziellen Opfern Schadcode unterzuschieben.
Von den zehn Sicherheitslücken erläutert Google in den Release-Informationennur sechs näher. Die haben allesamt die Einstufung als hohes Risiko erhalten. Zu vier Schwachstellen fehlen jedoch derzeit jegliche Hinweise. Keine der Schwachstellen scheint derzeit aktiv ausgenutzt zu werden.
Gemäß der Belohnung, die Google für das Melden von Sicherheitslücken ausschüttet, ist eine Use-after-free-Lücke in der JavaScript-Engine V8 am schwerwiegendsten. Das war dem Unternehmen 21.000 US-Dollar wert. Im CVE-Eintrag fehlen ebenfalls Details, dort findet sich jedoch der Hinweis, dass sich die Lücke mit manipulierten Webseiten ausnutzen lasse (CVE-2022-3885, noch kein CVSS-Wert, Risiko "hoch"). Derselbe Schwachstellentyp tritt in der Spracherkennung auf, lässt sich ebenfalls mit sorgsam präparierten Webseiten missbrauchen und bewegt Google zur Auszahlung von 10.000 US-Dollar (CVE-2022-3886, Risiko hoch).
Die weiteren gelisteten Lücken sind nicht ganz so riskant, tragen jedoch immer noch die Risikoberwertung hoch. So sind zwei Use-after-free-Lücken in den Web Workers und WebCodecs im Rahmen des Bug-Bounty-Programms 7.000 US-Dollar wert (CVE-2022-3887, CVE-2022-3887, Risiko hoch). Zudem erwähnt Google noch einen Type-Confusion-Fehler in V8 (CVE-2022-3889, hoch) sowie einen Heap-basierten Pufferüberlauf in der Komponente Crashpad (CVE-2022-3890, hoch); die Prämien hierfür legt das Unternehmen noch fest.
Die aktuell laufende Chrome-Version lässt sich mit einem Klick auf das Einstellungsmenü von Chrome herausfinden, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende geht es weiter über die Einträge "Hilfe", anschließend dann weiter auf "Über Google Chrome". Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen.
Da die von den Lücken betroffenen Komponenten auch im Chromium-Browser zum Einsatz kommen, steht für andere Chromium-basierte Webbrowser wie Microsofts Edge in Kürze wahrscheinlich ebenfalls eine Aktualisierung an. Nutzer sollten sie aufgrund des potenziellen Risikos zügig installieren.
Vor rund zwei Wochen hatte Google ein außerplanmäßiges Update für Chrome veröffentlichen müssen. Exploit-Code für eine Zero-Day-Sicherheitslücke war da im Netz im Umlauf.
Quelle: heise
Details: Mangelware
Weitergehende Informationen zu den Sicherheitslücken sind wie immer bei Google noch nicht verfügbar. Dies soll die Nutzer schützen, damit sie Updates installieren können, bevor Angreifer die Lücken für kriminelle Machenschaften missbrauchen.Von den zehn Sicherheitslücken erläutert Google in den Release-Informationennur sechs näher. Die haben allesamt die Einstufung als hohes Risiko erhalten. Zu vier Schwachstellen fehlen jedoch derzeit jegliche Hinweise. Keine der Schwachstellen scheint derzeit aktiv ausgenutzt zu werden.
Gemäß der Belohnung, die Google für das Melden von Sicherheitslücken ausschüttet, ist eine Use-after-free-Lücke in der JavaScript-Engine V8 am schwerwiegendsten. Das war dem Unternehmen 21.000 US-Dollar wert. Im CVE-Eintrag fehlen ebenfalls Details, dort findet sich jedoch der Hinweis, dass sich die Lücke mit manipulierten Webseiten ausnutzen lasse (CVE-2022-3885, noch kein CVSS-Wert, Risiko "hoch"). Derselbe Schwachstellentyp tritt in der Spracherkennung auf, lässt sich ebenfalls mit sorgsam präparierten Webseiten missbrauchen und bewegt Google zur Auszahlung von 10.000 US-Dollar (CVE-2022-3886, Risiko hoch).
Die weiteren gelisteten Lücken sind nicht ganz so riskant, tragen jedoch immer noch die Risikoberwertung hoch. So sind zwei Use-after-free-Lücken in den Web Workers und WebCodecs im Rahmen des Bug-Bounty-Programms 7.000 US-Dollar wert (CVE-2022-3887, CVE-2022-3887, Risiko hoch). Zudem erwähnt Google noch einen Type-Confusion-Fehler in V8 (CVE-2022-3889, hoch) sowie einen Heap-basierten Pufferüberlauf in der Komponente Crashpad (CVE-2022-3890, hoch); die Prämien hierfür legt das Unternehmen noch fest.
Aktuelle Versionen
Die Updates hieven Google Chrome auf den Stand 107.0.5304.110 für Linux und Mac und 107.0.5304.106/107 für Windows. Der iOS-Browser von Google ist mit Stand 107.0.5304.101 aktuell. Bei der Fassung 107.0.5304.105 für Android weist Google explizit darauf hin, dass diese Version dieselben Fehlerbereinigungen enthält wie die Desktop-Releases, sofern keine weiteren Hinweise vorliegen.Die aktuell laufende Chrome-Version lässt sich mit einem Klick auf das Einstellungsmenü von Chrome herausfinden, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende geht es weiter über die Einträge "Hilfe", anschließend dann weiter auf "Über Google Chrome". Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen.
Da die von den Lücken betroffenen Komponenten auch im Chromium-Browser zum Einsatz kommen, steht für andere Chromium-basierte Webbrowser wie Microsofts Edge in Kürze wahrscheinlich ebenfalls eine Aktualisierung an. Nutzer sollten sie aufgrund des potenziellen Risikos zügig installieren.
Vor rund zwei Wochen hatte Google ein außerplanmäßiges Update für Chrome veröffentlichen müssen. Exploit-Code für eine Zero-Day-Sicherheitslücke war da im Netz im Umlauf.
Quelle: heise