Google hat die Version 103.0.5060.114 des Webbrowsers Chrome für Windows freigegeben und schließt vier Sicherheitslücken. Mindestens drei davon stuft der Hersteller als hohes Risiko ein. Außerdem gebe es wilden Exploit-Code für eine Schwachstelle, schreiben die Entwickler. Auch für Android steht die Chrome-Version 103.0.5060.71 zur Verfügung, die auch die aktiv genutzte Schwachstelle schließt.
Umlaufender Betriebscode
Der Fehler, für den bereits Schadcode kursiert, findet sich in WebRTC (Web Real-Time Communication), einer Sammlung von Protokollen zur Webkommunikation (CVE-2022-2294, „hohes“ Risiko). Avast-Sicherheitsermittler entdeckten es und meldeten es am 1. Juli. Wie üblich gibt Google keine weiteren Details zum Schutz der Nutzer bekannt, bis sie das verfügbare Update installiert haben.
Eine weitere Schwachstelle liegt beim Type Confusion und betrifft die JavaScript-Engine V8 (CVE-2022-2295, alt). Bei einer Typverwirrung weist oder initialisiert der Code eine Ressource wie einen Zeiger, ein Objekt oder eine Variable mit einem bestimmten Typ zu, greift aber später mit einem inkompatiblen Datentyp auf die Ressource zu. Dies kann zu einem Zugriff aus dem zugewiesenen Speicher und damit zur Ausführung des eingeschleusten Codes führen.
Eine weitere kurz beschriebene Schwachstelle betrifft überraschenderweise eine Chrome-Betriebssystem-Shell, die den Browser einzuschließen scheint (CVE-2022-2296, alt). Hier kann eine Schwachstelle von Use After Free Cyberkriminellen ein Angriffsziel bieten.
Aktivieren Sie das Browser-Update manuell
Da eine der Schwachstellen bereits in freier Wildbahn ausgenutzt wird, sollten Anwender schnell prüfen, ob sie die aktuelle Version verwenden. Dazu müssen sie oben rechts in der Adressleiste auf das „Drei-Punkte-Menü“ klicken und schließlich auf „Hilfe“ – „Über Google Chrome“ gehen. Chrome zeigt bereits die aktuelle Versionsnummer an, oder dies löst den Download und die Installation des Updates aus.
Da die Schwachstellen verschiedene Komponenten betreffen, die auch im zugrunde liegenden Chromium-Projekt zum Einsatz kommen, etwa die JavaScript-V8-Engine, sollten bald auch Anbieter anderer Chromium-basierter Webbrowser Updates anbieten. Zuletzt, vor rund zwei Wochen, hat Google 14 weitere Schwachstellen im Webbrowser geschlossen.
(DMK)
Auf der Homepage