Im Webbrowser Chrome schließt Google mit einer aktualisierten Version sechs hoch riskante Sicherheitslücken. Angreifer könnten arglosen Opfern dadurch möglicherweise bereits beim Besuch präparierter Webseiten Schadcode unterschieben – das legen die gezahlten Prämien für die Fehlermeldungen zumindest nahe.
Wie üblich nennt
Für das Melden eines Heap-basierten Pufferüberlaufs in der WebSQL-Komponente des Webbrowsers erhielten die Entdecker immerhin noch 13.000 US-Dollar (CVE-2022-3446). Ein hohes Risiko geht auch von einer unangemessenen Implementierung der Custom Tabs aus (CVE-2022-3447). Drei weitere Schwachstellen mit hohem Risiko sind allesamt vom Typ Use-after-free und betreffen die Browser-Komponenten Permissions API, Safe Browsing sowie Peer Connection (CVE-2022-3448, CVE-2022-3449, CVE-2022-3450).
Die jetzt aktuelle stabile Version 106.0.5249.119 von Chrome für Linux, Mac und Windows enthält die Schwachstellen nicht mehr. Die aktualisierte extended stable-Fassung für Mac und Windows trägt dieselbe Versionsnummer. Unter Android lautet der neue Stand hingegen 106.0.5249.118.
Der Versionsinformationsdialog von Google Chrome lädt bei Verfügbarkeit Aktualisierungen herunter und installiert sie. Danach ist ein Browser-Neustart nötig.
(Bild: Screenshot)
Smartphone-Nutzer müssen im App-Store ihres Systems nach Aktualisierungen suchen lassen. Linux-Anwender finden in der Regel bei der distributionseigenen Paketverwaltung die aktualisierten Pakete.
Die Schwachstellen betreffen in der Regel auch den zugrundeliegenden Chromium-Webbrowser. Daher dürften die Anbieter darauf basierender Webbrowser wie Microsoft mit Edge ebenfalls in Kürze aktualisierte Software-Pakete veröffentlichen. Auch hier sollten Nutzer zügig auf bereitstehende Updates prüfen.
Quelle: heise
Wie üblich nennt
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
keine Details zu den Schwachstellen. Es finden sich dort jedoch kurze Zusammenfassungen zur betroffenen Komponente.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
listen die Entwickler jetzt sogar zu allen sechs angekündigten Fehlerbehebungen die betroffenen Browser-Module auf.Hohes Risiko
Die schwerwiegendste Sicherheitslücke war Google 15.000 US-Dollar Belohnung wert. Dabei handelt es sich um eine sogenannte Use-after-free-Schwachstelle in der 2D-Grafikbibliothek Skia (CVE-2022-3445). Bei so einer Lücke greift der Programmcode fälschlicherweise auf Zeiger oder Speicherbereiche zu, die bereits wieder freigegeben wurden und daher zunächst undefinierte Inhalte enthalten. Dies führt in der Regel zu einem Absturz, oftmals lässt sich dadurch jedoch sogar eingeschmuggelter Schadcode ausführen.Für das Melden eines Heap-basierten Pufferüberlaufs in der WebSQL-Komponente des Webbrowsers erhielten die Entdecker immerhin noch 13.000 US-Dollar (CVE-2022-3446). Ein hohes Risiko geht auch von einer unangemessenen Implementierung der Custom Tabs aus (CVE-2022-3447). Drei weitere Schwachstellen mit hohem Risiko sind allesamt vom Typ Use-after-free und betreffen die Browser-Komponenten Permissions API, Safe Browsing sowie Peer Connection (CVE-2022-3448, CVE-2022-3449, CVE-2022-3450).
Die jetzt aktuelle stabile Version 106.0.5249.119 von Chrome für Linux, Mac und Windows enthält die Schwachstellen nicht mehr. Die aktualisierte extended stable-Fassung für Mac und Windows trägt dieselbe Versionsnummer. Unter Android lautet der neue Stand hingegen 106.0.5249.118.
Aktuelle Version prüfen
Der aktuelle Stand des Webbrowsers lässt sich durch Aufruf des Einstellungs-Menüs mittels der Schaltfläche mit den drei Punkten rechts von der Adresszeile, dort dann weiter unter "Hilfe" - "Über Google Chrome" herausfinden. Gegebenenfalls startet das das Herunterladen und Installieren der Aktualisierung und bietet dann den nötigen Browser-Neustart an.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Der Versionsinformationsdialog von Google Chrome lädt bei Verfügbarkeit Aktualisierungen herunter und installiert sie. Danach ist ein Browser-Neustart nötig.
(Bild: Screenshot)
Smartphone-Nutzer müssen im App-Store ihres Systems nach Aktualisierungen suchen lassen. Linux-Anwender finden in der Regel bei der distributionseigenen Paketverwaltung die aktualisierten Pakete.
Die Schwachstellen betreffen in der Regel auch den zugrundeliegenden Chromium-Webbrowser. Daher dürften die Anbieter darauf basierender Webbrowser wie Microsoft mit Edge ebenfalls in Kürze aktualisierte Software-Pakete veröffentlichen. Auch hier sollten Nutzer zügig auf bereitstehende Updates prüfen.
Quelle: heise
