Google hatte zum Mittwoch das wöchentliche Browserupdate für Chrome veröffentlicht. Inzwischen liefern die Entwickler auch die damit geschlossenen Sicherheitslücken nach: 79 an der Zahl, 14 davon bedeuten ein kritisches Risiko.

In der Versionsankündigung reißt Google wie immer kurz an, in welcher Komponente die Schwachstellen zu finden sind und welchen Schweregrad sie haben. Weitere Details finden sich dort nicht, jedoch lassen sich die Schwachstellen im Regelfall durch das Anzeigen manipulierter Webseiten missbrauchen. Die kritischen und hochriskanten Lücken ermöglichen im Regelfall das Ausführen von Schadcode, das Ausbrechen aus der Sandbox oder das Abgreifen sensibler und anderweitig missbrauchbarer Informationen.

Alleine acht der kritischen Lecks basieren auf „Use-after-free“, also dem Zugreifen auf Ressourcen, nachdem sie bereits freigegeben wurden, wodurch ihr Inhalt undefiniert ist und oft Codeschmuggel erlaubt. Dazu kommen zwei Integer-Überläufe, ein Heap-basierter Pufferüberlauf, einmal unzureichende Prüfung von nicht vertrauenswürdigen Nutzereingaben, einmal ein Problem mit einem Objekt-Lebenszyklus sowie eine Race Condition ausgerechnet in der Payments-Komponente, die zum automatischen Ausfüllen dient und Google Pay und die darin gespeicherten Kreditkarteninformationen einbindet.

Weitere 37 Lücken stufen Googles Entwickler als Risiko „hoch“ ein, 28 immerhin noch als „mittleres“. Immerhin: Google erwähnt nicht, dass eine davon in freier Wildbahn attackiert würde. Dennoch sollten Nutzer und Nutzerinnen von Chrome und auf dem Chromium-Projekt basierenden Browsern zügig prüfen, ob die Updates inzwischen angewendet wurden.

Aktualisierte Versionen

Google gibt an, dass Chrome 148.0.7778.167 für Android, 148.0.7778.166 für iOS, 148.0.7778.167 für Linux und 148.0.7778.167/168 für macOS und Windows die zahlreichen sicherheitsrelevanten Fehler ausbügeln. Das Update liefert etwa der Versionsdialog aus, der sich durch Öffnen des Browser-Menüs und den weiteren Klick-Pfad über „Hilfe“ zu „Über “ öffnet. Unter Linux ist in der Regel die distributionseigene Softwareverwaltung aufzurufen. Auf Mobilgeräten finden sich die Updates im jeweiligen App-Store – oftmals jedoch mit deutlicher Verzögerung.

Auf Chromium basierende Browser wie Microsofts Edge dürften in Kürze ebenfalls Sicherheitsupdates liefern. Allerdings steht insbesondere für Edge zum Meldungszeitpunkt noch kein entsprechender Hinweis auf Microsofts Auflistung der Sicherheitsupdates.

In der vergangenen Woche hatten Googles Programmierer sogar noch mehr Sicherheitslücken behandelt, insgesamt ​127 Stück. Da waren allerdings lediglich drei als kritisches Risiko eingestuft.

Siehe auch:

(dmk)

Nutzen Angreifer eine Schwachstelle in VMware Fusion erfolgreich aus, können sie sich unter bestimmten Bedingungen Root-Nutzerrechte verschaffen. Nun haben die Entwickler die Lücke geschlossen.

Attacke mit weitreichenden Folgen

Mit VMware Fusion erstellt man unter macOS virtuelle Maschinen. Angreifer können an einer Race-Condition-Schwachstelle (TOCTOU, Time-of-Check to Time-of-Use) ansetzen [–] in einer Binärdatei mit SETUID. In so einem Fall passen Angreifer eine bestimmte Zeitspanne zwischen der Prüfung und Nutzung einer Ressource ab, um die Ressource zu manipulieren und so Schindluder zu treiben.

In diesem Fall können sie sich auf einem nicht näher ausgeführten Weg root-Rechte verschaffen und im Anschluss mit hoher Wahrscheinlichkeit die volle Kontrolle erlangen (CVE-2026-41702 „hoch“). Als Voraussetzung für eine Attacke müssen Angreifer aber bereits authentifiziert sein.

Davon ist die Ausgabe 25H2 von VMware Fusion bedroht. Die Entwickler versichern, die Version 26H1 repariert zu haben. Bislang gibt es keine Berichte über Attacken.

(des)

In Episode 159 des c’t-Datenschutz-Podcasts vertreten Sylvester Tremmel aus der c’t-Redaktion und der freie Journalist Falk Steiner Joerg Heidrich an der Seite von Holger Bleich. Zum Auftakt berichtet Steiner aus Berlin von der Vorstellung des Tätigkeitsberichts der Bundesdatenschutzbeauftragten – und davon, wie wenige Journalistinnen und Journalisten zu diesem Termin erschienen sind; für ihn ein bedenkliches Signal in Zeiten, in denen Vorhaben wie Vorratsdatenspeicherung oder Gesichtserkennung beim BKA auf der politischen Agenda stünden, der Datenschutz aber kaum noch Beachtung finde.

Beim Bußgeld der Woche geht es um eine spanische Fondsgesellschaft, die einen mit Microsoft Teams aufgezeichneten internen Call später als offizielles Protokoll an externe Investoren weitergegeben hatte. Die spanische Datenschutzbehörde AEPD wertete die pauschale Einwilligung zur Aufzeichnung der Teilnehmenden als unzureichend und verhängte 3000 Euro Bußgeld (Begründung in spanischer Sprache). Die Diskutanten loben die Praxis der spanischen Behörde, auch kleinere Fälle konsequent zu verfolgen und damit Klarheit über die Auslegung der DSGVO zu schaffen.

Ungelöstes Grundproblem

Breiten Raum nimmt der sogenannte Signal-„Hack“ ein, bei dem hochrangige Politikerinnen und Politiker, darunter Bundestagspräsidentin Julia Klöckner, Ziel einer Phishing-Kampagne wurden. Tremmel stellt klar, dass es sich nicht um einen technischen Angriff auf den Messenger handelte: Die mutmaßlich aus Russland gesteuerten Angreifer gaben sich als Signal-Support aus und brachten ihre Opfer dazu, ihre PIN preiszugeben oder ein fremdes Gerät zu verknüpfen.

Steiner schildert anschaulich, wie schwierig sichere Kommunikation in der politischen Realität ist, wo eine einzelne Person wie die Bundestagspräsidentin in zahlreichen Rollen unterwegs ist und über verschiedenste IT-Umgebungen hinweg kommunizieren muss. Die nun empfohlene Nutzung der Messenger-Plattform Wire löse das Grundproblem nicht, solange offene Messenger nötig blieben.

Zuguterletzt stellt Tremmel eine Recherche von Correctiv, Computer Weekly und Solomon zum sogenannten „Pressure Cooker“ bei Europol vor. In diesem Datensystem soll die EU-Polizeibehörde über Jahre hinweg mehr als zwei Petabyte an Daten angehäuft haben – ohne saubere Rechtsgrundlage, ohne funktionierendes Rechtemanagement und am europäischen Datenschutzbeauftragten vorbei. Steiner ordnet ein, warum gerade jetzt, da die EU-Kommission Europol mit mehr Personal und Befugnissen ausstatten will, ein genauer Blick auf diese Praxis besonders wichtig ist.

Episode 159:

Hier geht es zu allen bisherigen Folgen:

(hob)