Chrome 144: Drei kritische Schwach­stellen erfordern schnelles Update

Google hat mit dem nun verteilten Update auf Chrome 144 insgesamt zehn Sicherheitslücken geschlossen, von denen drei von Sicherheitsexperten als besonders kritisch eingestuft wurden. Nutzer sollten daher schnellstmöglich auf die neue Version aktualisieren.

Wie üblich macht Google auch in den aktuellen Release Notes nur wenige Angaben zu den gefundenen Schwachstellen – nicht zuletzt, um Anwendern ausreichend Zeit für das Einspielen des Updates zu geben und Angreifern keine zusätzlichen Hinweise zu liefern, die sie für ihre Zwecke nutzen könnten.

Erneut Javascript-Engine V8 im Fokus

Zwei der drei als kritisch eingestuften Sicherheitslücken betreffen erneut die Javascript-Engine V8. Hier kann es durch einen Speicherzugriff außerhalb der vorgesehenen Grenzen (Out-of-bounds Memory Access, kurz OOB) möglich sein, aus der für die aufgerufene Seite bestimmten Sandbox auszubrechen, indem Schutzmechanismen wie ASLR (Address Space Layout Randomization) umgangen werden. Dadurch können Angreifer schadhaften Code auf das System bringen und über eine Remote Code Execution (RCE) sensible Daten ausspähen oder sogar die vollständige Kontrolle über das System übernehmen.

Dies ist jedoch nicht die einzige Schwachstelle, die V8 betrifft. In einer weiteren spricht Google lediglich von einer „unangemessenen Implementierung in V8“. Die gleiche Formulierung verwendet das Unternehmen auch bei der dritten gefundenen kritischen Lücke, die die Rendering-Engine „Blink“ in Google Chrome betrifft. Auch hier ist davon auszugehen, dass Angreifer über diese Schwachstelle Daten abgreifen oder die Kontrolle über das System erlangen könnten.

In den Release Notes werden zudem sieben weitere Sicherheitsprobleme aufgeführt, von denen vier als mittelschwer und drei als geringfügig eingestuft werden.

Anwender sollten schnell umsteigen

Zur Behebung der Sicherheitslücken hat Google verschiedene bereinigte Versionen des Browsers für unterschiedliche Plattformen veröffentlicht. Für Windows und macOS steht ab sofort Version 144.0.7559.59/60 bereit, während Linux-Nutzer auf Version 144.0.7559.59 aktualisieren sollten. Für Android ist im Play Store von Google ebenfalls Version 144.0.7559.59 erhältlich, die entsprechende iOS-Iteration dürfte in Kürze in Apples App Store folgen. Die Updates für auf Chromium basierende Browser wie Microsofts Edge sollten erfahrungsgemäß in den kommenden Tagen bereitstehen.

Desktop-Nutzer können die Aktualisierung über die integrierte Update-Funktion des Browsers anstoßen. Alternativ lässt sich die neue Version wie gewohnt bequem über den am Ende dieser Meldung verlinkten Download-Bereich von ComputerBase herunterladen und manuell installieren.