Google Chrome: Update schließt Hochrisiko-Sicherheitslöcher

Google veröffentlicht ein Update für Chrome, das elf potenzielle Sicherheitsschwachstellen schließt - fünf davon sind mit High Risk bewertet.

Artikel veröffentlicht am ,
Aufpoliertes Chrom - Google schließt Sicherheitslücken in Chrome
Aufpoliertes Chrom - Google schließt Sicherheitslücken in Chrome (Bild: Andres Skudder via flickr/CC-BY-SA 2.0)

Google hat Sicherheitsupdates für Chrome auf Windows, Mac und Linux veröffentlicht und den Browser in der Version 103.0.5060.134 zur Verfügung gestellt. Die amerikanische Cybersecurity & Infrastructure Security Agency (Cisa) fordert Nutzer auf, diese möglichst schnell einzuspielen.

Stellenmarkt
  1. Consultant - Prozessautomatisierung (w|m|d)
    AMANA consulting GmbH, Essen
  2. Projektleiter (w/m/d)
    youknow GmbH, Dortmund
Detailsuche

Die Patches stopfen Lücken, die es Angreifern ermöglichten, die Kontrolle über betroffene Systeme zu übernehmen. Insgesamt wurden in dem Patch elf Sicherheitslücken geschlossen, fünf davon waren mit einem hohen Risiko bewertet.

Die gepatchten Lücken: Use-after-Free

Bei vier der schwerwiegenden Lücken ist die falsche Verwendung von dynamischem Speicher die Ursache. Das Problem besteht darin, dass Speicher bei laufender Anwendung irrtümlich freigegeben wird, was Angreifer ausnutzen können. Die Problematik wird als Use-after-Free (Nutzung-nach-Freisetzung) bezeichnet. Der Fehler betrifft gleich vier Module von Chrome, im Einzelnen sind dies CVE-2022-2481 für die Rendering Engine Views, CVE-2022-2478 für den PDF-Viewer, CVE-2022-2477 nach der Verwendung der Gastansicht und CVE-2022-2480 für die Service Worker API, also jenem Teil von Chrome, der zwischen dem eigentlichen Browser und dem Netz steht und als Proxy funktioniert, um unter anderem im Offline-Fall bereits Geladenes weiter zur Ansicht zur Verfügung stellen zu können.

Wie genau die Lücke funktioniert und wie die Auswirkungen sein könnten, ist noch nicht bekannt. Aus der Beschreibung lässt jedoch sich entnehmen, dass Angreifer durch einen solchen Speicherkorruptionsfehler zumindest das System zum Absturz bringen könnten. Aber es ist auch durchaus möglich, dass ein Ausführen von beliebigem Code möglich wird, was wiederum zur Warnung der Cisa passt - denn beliebigen Code auszuführen, bedeutet üblicherweise das Installieren von Malware zur Übernahme des Systems. Google will Näheres zu den Lücken erst bekanntgeben, wenn Nutzer ausreichend Zeit hatten, das Update zu installieren.

Die andere Hochrisikolücke

Golem Karrierewelt
  1. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    29.08.-01.09.2022, Virtuell
  2. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
Weitere IT-Trainings

Bei CVE-2022-2479 geht es um unzureichende Validierungen von Eingaben aus Dateien, die aus einer nicht vertrauenswürdigen Quelle stammen - auch hier will Google mit einer genaueren Beschreibung der Lücke im Browser warten, bis eine hinreichend große Anzahl an Usern die Patches eingespielt haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Hacking
Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher

Mit einer neuen Version des Bad-USB-Sticks Rubber Ducky lassen sich Rechner noch leichter angreifen und neuerdings auch heimlich Daten ausleiten.

Hacking: Der Bad-USB-Stick Rubber Ducky wird noch gefährlicher
Artikel
  1. Kilimandscharo: Tanzania Telecommunications bringt Glasfaser auf 3.720 Meter
    Kilimandscharo
    Tanzania Telecommunications bringt Glasfaser auf 3.720 Meter

    Der Campingplatz Horombo Hut bietet Glasfaser-Internet auf 3.720 Meter Höhe. Bald soll auch der höchste Berggifel des Kilimandscharo versorgt werden..

  2. E-Mountainbike Graveler 29 Zoll: Aldi verkauft Mountain-E-Bike von Prophete
    E-Mountainbike Graveler 29 Zoll
    Aldi verkauft Mountain-E-Bike von Prophete

    Aldi bietet ein sportliches E-Bike für knapp 1.000 Euro an. Das Graveler 29 Zoll ist für unwegsames Gelände und die Stadt gedacht und dabei recht leicht.

  3. Sprachanschlüsse: Telekom erhöht die Preise
    Sprachanschlüsse
    Telekom erhöht die Preise

    Wer nur telefonieren will, muss bei der Telekom etwas mehr zahlen. Das betrifft die Call-Start-Tarife.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 10%-Gaming-Gutschein bei eBay • Grafikkarten zu Tiefpreisen (Palit RTX 3090 Ti 1.391,98€, Zotac RTX 3090 1.298,99€, MSI RTX 3080 Ti 1.059€) • PS5 bei Amazon • HP HyperX Gaming-Maus 29€ statt 99€ • MindStar (ASRock RX 6900XT 869€) • Bester 2.000€-Gaming-PC [Werbung]
    •  /