Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Alert! Webbrowser: Zehn Sicherheitslücken weniger in Google Chrome

Google aktualisert den Webbrowser Chrome auf allen Plattformen und schließt dabei zehn teils hochriskante Sicherheitslücken. Angreifer könnten die Schwachstellen missbrauchen, um mit präparierten Webseiten potenziellen Opfern Schadcode unterzuschieben.

Details: Mangelware​

Weitergehende Informationen zu den Sicherheitslücken sind wie immer bei Google noch nicht verfügbar. Dies soll die Nutzer schützen, damit sie Updates installieren können, bevor Angreifer die Lücken für kriminelle Machenschaften missbrauchen.

Von den zehn Sicherheitslücken
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
nur sechs näher. Die haben allesamt die Einstufung als hohes Risiko erhalten. Zu vier Schwachstellen fehlen jedoch derzeit jegliche Hinweise. Keine der Schwachstellen scheint derzeit aktiv ausgenutzt zu werden.
Gemäß der Belohnung, die Google für das Melden von Sicherheitslücken ausschüttet, ist eine Use-after-free-Lücke in der JavaScript-Engine V8 am schwerwiegendsten. Das war dem Unternehmen 21.000 US-Dollar wert. Im CVE-Eintrag fehlen ebenfalls Details, dort findet sich jedoch der Hinweis, dass sich die Lücke mit manipulierten Webseiten ausnutzen lasse (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, noch kein CVSS-Wert, Risiko "hoch"). Derselbe Schwachstellentyp tritt in der Spracherkennung auf, lässt sich ebenfalls mit sorgsam präparierten Webseiten missbrauchen und bewegt Google zur Auszahlung von 10.000 US-Dollar (
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, Risiko hoch).

Die weiteren gelisteten Lücken sind nicht ganz so riskant, tragen jedoch immer noch die Risikoberwertung hoch. So sind zwei Use-after-free-Lücken in den Web Workers und WebCodecs im Rahmen des Bug-Bounty-Programms 7.000 US-Dollar wert (CVE-2022-3887, CVE-2022-3887, Risiko hoch). Zudem erwähnt Google noch einen Type-Confusion-Fehler in V8 (CVE-2022-3889, hoch) sowie einen Heap-basierten Pufferüberlauf in der Komponente Crashpad (CVE-2022-3890, hoch); die Prämien hierfür legt das Unternehmen noch fest.

Aktuelle Versionen​

Die Updates hieven Google Chrome auf den Stand 107.0.5304.110 für Linux und Mac und 107.0.5304.106/107 für Windows. Der iOS-Browser von Google ist mit Stand 107.0.5304.101 aktuell. Bei der Fassung 107.0.5304.105 für Android
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, dass diese Version dieselben Fehlerbereinigungen enthält wie die Desktop-Releases, sofern keine weiteren Hinweise vorliegen.

Die aktuell laufende Chrome-Version lässt sich mit einem Klick auf das Einstellungsmenü von Chrome herausfinden, das sich hinter dem Symbol mit den drei aufeinandergestapelten Punkten rechts von der Adresszeile findet. Am unteren Ende geht es weiter über die Einträge "Hilfe", anschließend dann weiter auf "Über Google Chrome". Der sich öffnende Dialog zeigt die aktuell genutzte Version an und stößt bei Verfügbarkeit den Download und die Installation des Updates an. Linux-Nutzer müssen dazu wie üblich ihre Distributions-eigene Softwareverwaltung starten. Android- und iOS-Nutzer können in den App-Stores ihrer Geräte nach Aktualisierungen suchen lassen.

Da die von den Lücken betroffenen Komponenten auch im Chromium-Browser zum Einsatz kommen, steht für andere Chromium-basierte Webbrowser wie Microsofts Edge in Kürze wahrscheinlich ebenfalls eine Aktualisierung an. Nutzer sollten sie aufgrund des potenziellen Risikos zügig installieren.

Vor rund zwei Wochen hatte Google ein
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Exploit-Code für eine Zero-Day-Sicherheitslücke war da im Netz im Umlauf.
Quelle: heise
 
Zurück
Oben