Chrome: Weitere Zero-Day-Lücke mit Update geschlossen
Zum dritten Mal innerhalb einer Woche aktualisiert Google den Chrome-Webbrowser. Erneut kursiert ein Exploit für eine Zero-Day-Lücke darin.
Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Google veröffentlicht erneut ein Notfall-Sicherheitsupdate für den Webbrowser Chrome. Für eine neue Zero-Day-Lücke im Browser kursiert abermals ein Exploit in freier Wildbahn. Dabei vollzieht der Anbieter auch den Versionssprung in den 125-Entwicklungszweig.
In der Versionsankündigung schreiben Googles Entwickler, dass die neue Version insgesamt neun Sicherheitslecks abdichtet. Knappe Informationen liefern sie lediglich für vier davon, fünf wurden demnach intern gefunden. Zwei wurden als hohes Risiko, eine als mittleres und eine als niedriger Bedrohungsgrad eingestuft.
Zero-Day-Lücke mit Exploit
Eine Lücke vom Typ Type-Confusion betrifft die Javascript-Engine V8. Dabei passen verarbeitete Datentypen nicht zu den im Programmcode vorgesehenen, was zum Überschreiten von Speichergrenzen und in manchen Fällen zum Ausführen von untergeschobenem Code führen kann. In diesem Fall können Angreifer die Lücke etwa mit einer bösartig manipulierten Webseite missbrauchen, um beliebigen Code innerhalb einer Sandbox auszuführen (CVE-2024-4947, kein CVSS-Wert, Risiko laut Google "hoch"). Für diese Sicherheitslücke weiß Google von Exploits, die in freier Wildbahn kursieren.
Zudem schließen die neuen Versionen eine Use-after-free-Schwachstelle in der Browser-Komponente Dawn (CVE-2024-4948, hoch) und eine in der V8-Javbascript-Engine (CVE-2024-4949, mittel) sowie eine unangemessene Implementierung in Downloads (CVE-2024-4950, niedrig).
Die abgesicherten Browser-Versionen lauten nun Chrome 125.0.6422.53 für Android, 125.0.6422.60 für Linux und 125.0.6422.60/.61 für macOS und Windows. Die Extended-Stable-Version wurde ebenfalls aktualisiert, dort ist nun Stand 124.0.6367.221 für macOS und Windows aktuell. Wer Google Chrome einsetzt, sollte sicherstellen, dass die aktuelle Fassung installiert und aktiv ist.
Sicherstellen, dass aktuelle Version läuft
Der Versionsdialog von Google Chrome zeigt den aktuell laufenden Software-Stand an und startet gegebenenfalls den Update-Vorgang. Durch Klick auf das Einstellungsmenü des Webbrowsers, das sich hinter dem Symbol mit den drei gestapelten Punkten rechts von der Adressleiste befindet, und den weiteren Weg über "Hilfe" – "Über Google Chrome" gelangen Nutzer und Nutzerinnen dort hin.
(Bild: Screenshot / dmk)
Wer Chrome unter Linux nutzt, startet für die Update-Suche üblicherweise die Software-Verwaltung der eingesetzten Distribution. Da die Fehler den Chromium-Webbrowser betreffen, auf dem auch andere Browser wie Microsofts Edge basieren, dürfte für die anderen abgeleiteten Webbrowser in Kürze ebenfalls eine Aktualisierung bereitstehen. Die sollten Nutzer umgehend installieren.
Derzeit gibt es eine ungewöhnliche Häufung an Exploits, die im Umlauf sind und mit denen sich bislang unbekannte Schwachstellen in Chrome angreifen ließen, sogenannte Zero-Day-Lücken. Bereits am Freitag vergangener und dem Dienstag dieser Woche hatte Google Notfall-Updates herausgegeben, die solche Sicherheitslücken gestopft haben.
(dmk)