Google Chrome: Update schließt Hochrisiko-Sicherheitslöcher
Google hat Sicherheitsupdates für Chrome auf Windows, Mac und Linux veröffentlicht und den Browser in der Version 103.0.5060.134(öffnet im neuen Fenster) zur Verfügung gestellt. Die amerikanische Cybersecurity & Infrastructure Security Agency ( Cisa(öffnet im neuen Fenster) ) fordert Nutzer auf, diese möglichst schnell einzuspielen(öffnet im neuen Fenster) .
Die Patches stopfen Lücken, die es Angreifern ermöglichten, die Kontrolle über betroffene Systeme zu übernehmen. Insgesamt wurden in dem Patch elf Sicherheitslücken geschlossen, fünf davon waren mit einem hohen Risiko bewertet.
Die gepatchten Lücken: Use-after-Free
Bei vier der schwerwiegenden Lücken ist die falsche Verwendung von dynamischem Speicher die Ursache. Das Problem besteht darin, dass Speicher bei laufender Anwendung irrtümlich freigegeben wird, was Angreifer ausnutzen können. Die Problematik wird als Use-after-Free (Nutzung-nach-Freisetzung) bezeichnet. Der Fehler betrifft gleich vier Module von Chrome, im Einzelnen sind dies CVE-2022-2481(öffnet im neuen Fenster) für die Rendering Engine Views, CVE-2022-2478(öffnet im neuen Fenster) für den PDF-Viewer, CVE-2022-2477(öffnet im neuen Fenster) nach der Verwendung der Gastansicht und CVE-2022-2480(öffnet im neuen Fenster) für die Service Worker API, also jenem Teil von Chrome, der zwischen dem eigentlichen Browser und dem Netz steht und als Proxy funktioniert, um unter anderem im Offline-Fall bereits Geladenes weiter zur Ansicht zur Verfügung stellen zu können.
Wie genau die Lücke funktioniert und wie die Auswirkungen sein könnten, ist noch nicht bekannt. Aus der Beschreibung lässt jedoch sich entnehmen, dass Angreifer durch einen solchen Speicherkorruptionsfehler zumindest das System zum Absturz bringen könnten. Aber es ist auch durchaus möglich, dass ein Ausführen von beliebigem Code möglich wird, was wiederum zur Warnung der Cisa passt – denn beliebigen Code auszuführen, bedeutet üblicherweise das Installieren von Malware zur Übernahme des Systems. Google will Näheres zu den Lücken erst bekanntgeben, wenn Nutzer ausreichend Zeit hatten, das Update zu installieren.
Die andere Hochrisikolücke
Bei CVE-2022-2479(öffnet im neuen Fenster) geht es um unzureichende Validierungen von Eingaben aus Dateien, die aus einer nicht vertrauenswürdigen Quelle stammen – auch hier will Google mit einer genaueren Beschreibung der Lücke im Browser warten, bis eine hinreichend große Anzahl an Usern die Patches eingespielt haben.