Connect with us

Datenschutz & Sicherheit

Google Chrome 148: Neue Version schließt 127 Sicherheitslücken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Mit der wöchentlichen Aktualisierung in der Nacht zum Mittwoch hat Google den Webbrowser Chrome auf den Versionszweig 148 gebracht. Zunächst blieb die Versionsankündigung leer – inzwischen ist klar: Darin haben die Entwickler 127 Sicherheitslücken gestopft.

Weiterlesen nach der Anzeige

In der Versionsankündigung reißen die Chrome-Programmierer wie üblich kurz an, welche Schwachstellen von externen IT-Forschern gemeldet wurden. Drei erreichen die Risikoeinstufung „kritisch“, für eine davon ist auch die Prämie für die Meldenden klar: 43.000 US-Dollar erhalten sie dafür. Es handelt sich dabei um einen Integer-Überlauf in der Rendering-Engine Blink (CVE-2026-7896, CVSS laut CISA 8.8, Risiko laut Google „kritisch“). Unter iOS haben die Entwickler sich um eine Use-after-free-Lücke gekümmert (CVE-2026-7897, CVSS laut CISA 7.5, Risiko laut Google „kritisch“). Das eingebaute Remote-Desktop-Tool Chromoting weist ebenfalls eine Use-after-free-Schwachstelle auf (CVE-2026-7898, CVSS laut CISA 8.8, Risiko laut Google „kritisch“).

Bei einer Use-after-free-Schwachstelle greift der Programmcode auf bereits freigegebene Ressourcen zu. Deren Inhalte sind dadurch undefiniert; Angreifer können solche Lücken oftmals zum Einschleusen und Ausführen von Schadcode missbrauchen. Dazu genügt bei Webbrowsern in der Regel das Anzeigen von sorgsam präparierten Webseiten. Weitere 31 Sicherheitslücken gelten als Risiko „hoch“, 66 als „mittlerer“ Bedrohungsgrad und 27 noch als „niedrige“ Risikostufe.

Die Sicherheitslücken schließen die Chrome-Versionen 148.0.7778.120 für Android, 148.0.7778.96 für Linux und 148.0.7778.96/97 für macOS und Windows. Wer Chrome einsetzt, sollte rasch sicherstellen, dass der Webbrowser auf aktuellem Stand ist. Bislang scheint noch keine der Schwachstellen missbraucht zu werden, zumindest schreibt Google nichts davon.

Aktualisierung installieren

Die Updates lassen sich über den Versionsdialog anwenden. Nach Klick auf das Browser-Menü, das sich hinter dem Icon mit den drei aufeinander gestapelten Punkten verbirgt, und weiter über „Hilfe“ zu „Über Google Chrome“ öffnet er sich. Er zeigt den aktuell laufenden Softwarestand an und startet bei Verfügbarkeit die Installation der Aktualisierung. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür aufzurufen. In den App-Stores der Mobiltelefone sind die neuen Fassungen in der Regel mit etwas Verzögerung verfügbar.

Da die Sicherheitslücken die Chromium-Basis betreffen, sollten auch Nutzerinnen und Nutzer der darauf aufbauenden Webbrowser wie Microsofts Edge schauen, ob für die Browser inzwischen eine Aktualisierung verfügbar ist.

Weiterlesen nach der Anzeige

Das Chrome-Update aus der vergangenen Woche hatte bereits 30 Schwachstellen ausgebessert. Die KI-Schwachstellensuche scheint sehr erfolgreich zu sein und den Entwicklern einige Arbeit zu bescheren. Am Ende bedeutet das jedoch, dass die Software deutlich sicherer wird.


(dmk)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Sicherheitslücken gefährden Verbindungen über libssh2


Die Open-Source-SSH-Bibliothek libssh2 ist verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen, um Systeme zu attackieren. Im schlimmsten Fall kann Schadcode Computer kompromittieren. Der Patchstatus ist den derzeit verfügbaren Informationen zufolge undurchsichtig. Zum Zeitpunkt dieser Meldung gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Weiterlesen nach der Anzeige

Unternehmen setzen die Bibliothek an empfindlichen Stellen im Netzwerk ein, um etwa Router und IoT-Feräte fernzusteuern und Server zu managen. Demzufolge könnten erfolgreiche Attacken weitreichende Folgen haben.

Warten auf reparierte Ausgabe

Beide Lücken (CVE-2026-55200kritisch“, CVE-2026-55199hoch“) sind auf GitHub dokumentiert. Angreifer können über präparierte SSH-Pakete Speicherfehler auslösen und Schadcode ausführen. Außerdem sind DoS-Attacken vorstellbar.

Davon sind den Entwicklern zufolge alle libssh2-Versionen bis einschließlich 1.11.1 bedroht. Das Problem ist, dass beide Sicherheitspatches derzeit nur in Form von GitHub-Commits (7acf3df, 1762685) existieren. Offensichtlich sind die Fixes bereits im Master-Branch verfügbar, aber eine neue Version steht noch aus. Stichproben bei Linux-Distributoren haben Folgendes ergeben: Laut dem Debian Security Tracker wird die reparierte Ausgabe 1.11.1-3 derzeit getestet. In Kali Linux ist diese Version wohl schon seit Mai dieses Jahres enthalten.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Jetzt patchen! Angriffe auf WordPress-Websites mit Gravity-SMTP-Plug-in


Derzeit haben es Angreifer auf WordPress-Websites mit Gravity-SMTP-Plug-in abgesehen und attackieren Instanzen. Ein Sicherheitspatch ist bereits seit Ende dieses Jahres verfügbar, aber offensichtlich noch nicht flächendeckend installiert.

Weiterlesen nach der Anzeige

Vor den Attacken warnen Sicherheitsforscher von Wordfence in einem Beitrag. Ihnen zufolge ist die Lücke (CVE-2026-4020 „mittel“) seit März dieses Jahres bekannt. Seitdem gibt es auch die reparierte Ausgabe 2.1.5. Alle vorigen Versionen sind verwundbar.

Die Forscher geben an, dass das Plug-in derzeit rund 100.000 aktive Installationen aufweist.

Unbefugte Zugriffe

Ansatzpunkt für Angreifer ist ein nicht ausreichend sicher konfigurierter REST-API-Endpoint. So können sie ohne Authentifizierung darauf zugreifen, um über einen HTTP-GET-Request detaillierte Systemkonfigurationen abzurufen und diese Informationen für weiterführende Attacken zu nutzen.⁣

Die Sicherheitsforscher geben an, bereits 17 Millionen Angriffsversuche dokumentiert zu haben. Admins sollten dementsprechend zügig handeln und ihre Instanzen absichern. In ihrem Beitrag führen sie detaillierte Informationen zur Lücke auf. Zusätzlich finden Admins dort konkrete Hinweise (Indicators of Compromise, IoC), wie IP-Adressen, an denen sie bereits attackierte Systeme erkennen können.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Bamboo, Confluence & Co.: Atlassian schließt 100 Sicherheitslücken


Admins von Atlassian-Anwendungen sollten, um möglichen Attacken vorzubeugen, die ab sofort verfügbaren Sicherheitsupdates für verschiedene Produkte des Softwareherstellers installieren. Geschieht das nicht, können Angreifer Sicherheitslücken in etwa Bitbucket, Confluence und Jira Service Management ansetzen. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Weiterlesen nach der Anzeige

Überblick für Admins

Wie aus dem Sicherheitsbereich der Atlassian-Website hervorgeht, haben die Entwickler in aktuellen Versionen insgesamt 100 Lücken geschlossen. Davon sind neben dem eigenen Code auch Abhängigkeiten zu etwa Apache Tomcat betroffen.

Weil eine Auflistung der Schwachstellen und reparierten Ausgaben den Rahmen dieser Meldung sprengt, müssen sich Admins auf der verlinkten Seite des Softwareherstellers einen Überblick verschaffen. Im Folgenden finden sich einige besonders bedrohliche Lücken.

Unter den geschlossenen Schwachstellen sind auch einige „kritische“ Lücken – darunter sogar welche mit maximalem CVSS Score 10 von 10 (etwa CVE2026-40175). Das ist zum Beispiel der Fall in Axios im Zusammenhang von Jira Data Center and Server. Die Atlassian-Entwickler schreiben, dass aufgrund der Form der Abhängigkeit in diesem Kontext eine weniger bedrohliche Einstufung als kritisch gilt. Bei dieser Prototype-Pollution-Schwachstelle können Angreifer manipulierend eingreifen und etwa eigenen Code ausführen. Dagegen sollen die Versionen 11.3.7 (LTS) recommended Data Center Only und 10.3.22 (LTS) Data Center Only gerüstet sein.

Der Großteil der verbleibenden Lücken ist mit dem Bedrohungsgrad „hoch“ eingestuft. An diesen Stellen können Angreifer unter anderem für DoS-Attacken (etwa CVE-2026-33388) ansetzen oder sogar Schadcode aus der Ferne ausführen (CVE-2026-41044).


(des)



Source link

Weiterlesen

Beliebt