Update stopft 79 Sicherheitslücken in Google Chrome

Google hatte zum Mittwoch das wöchentliche Browserupdate für Chrome veröffentlicht. Inzwischen liefern die Entwickler auch die damit geschlossenen Sicherheitslücken nach: 79 an der Zahl, 14 davon bedeuten ein kritisches Risiko.

In der Versionsankündigung reißt Google wie immer kurz an, in welcher Komponente die Schwachstellen zu finden sind und welchen Schweregrad sie haben. Weitere Details finden sich dort nicht, jedoch lassen sich die Schwachstellen im Regelfall durch das Anzeigen manipulierter Webseiten missbrauchen. Die kritischen und hochriskanten Lücken ermöglichen im Regelfall das Ausführen von Schadcode, das Ausbrechen aus der Sandbox oder das Abgreifen sensibler und anderweitig missbrauchbarer Informationen.

Alleine acht der kritischen Lecks basieren auf „Use-after-free“, also dem Zugreifen auf Ressourcen, nachdem sie bereits freigegeben wurden, wodurch ihr Inhalt undefiniert ist und oft Codeschmuggel erlaubt. Dazu kommen zwei Integer-Überläufe, ein Heap-basierter Pufferüberlauf, einmal unzureichende Prüfung von nicht vertrauenswürdigen Nutzereingaben, einmal ein Problem mit einem Objekt-Lebenszyklus sowie eine Race Condition ausgerechnet in der Payments-Komponente, die zum automatischen Ausfüllen dient und Google Pay und die darin gespeicherten Kreditkarteninformationen einbindet.

Weitere 37 Lücken stufen Googles Entwickler als Risiko „hoch“ ein, 28 immerhin noch als „mittleres“. Immerhin: Google erwähnt nicht, dass eine davon in freier Wildbahn attackiert würde. Dennoch sollten Nutzer und Nutzerinnen von Chrome und auf dem Chromium-Projekt basierenden Browsern zügig prüfen, ob die Updates inzwischen angewendet wurden.

Aktualisierte Versionen

Google gibt an, dass Chrome 148.0.7778.167 für Android, 148.0.7778.166 für iOS, 148.0.7778.167 für Linux und 148.0.7778.167/168 für macOS und Windows die zahlreichen sicherheitsrelevanten Fehler ausbügeln. Das Update liefert etwa der Versionsdialog aus, der sich durch Öffnen des Browser-Menüs und den weiteren Klick-Pfad über „Hilfe“ zu „Über “ öffnet. Unter Linux ist in der Regel die distributionseigene Softwareverwaltung aufzurufen. Auf Mobilgeräten finden sich die Updates im jeweiligen App-Store – oftmals jedoch mit deutlicher Verzögerung.

Auf Chromium basierende Browser wie Microsofts Edge dürften in Kürze ebenfalls Sicherheitsupdates liefern. Allerdings steht insbesondere für Edge zum Meldungszeitpunkt noch kein entsprechender Hinweis auf Microsofts Auflistung der Sicherheitsupdates.

In der vergangenen Woche hatten Googles Programmierer sogar noch mehr Sicherheitslücken behandelt, insgesamt ​127 Stück. Da waren allerdings lediglich drei als kritisches Risiko eingestuft.

Siehe auch:

(dmk)