Google schließt erneut zwei Zero-Day-Lücken in Chrome

Von ihnen geht ein hohes Risiko aus. Nutzer sollten auf die neue Version 86.0.4240.198 umsteigen. Es ist bereits das dritte Update für den Stable Channel in diesem Monat und die fünfte Zero-Day-Lücke innerhalb von drei Wochen.

Google hat ein weiteres Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Die Version 86.0.4240.198 ist bereits das dritte stabile Release in diesem Monat. Es beseitigt zwei mit einem hohen Risiko behaftete Schwachstellen, die laut Google bereits aktiv für Hackerangriffe ausgenutzt werden. Sie sind zudem die Zero-Day-Lücken Nummer vier und fünf, die Google in den vergangenen drei Wochen schließen musste.

Google Chrome (Bild: Google)Den Versionshinweisen zufolge korrigierten die Entwickler eine „unsachgemäße Implementierung“ in der JavaScript-Engine V8. Darüber hinaus steckte in der Komponente Seitenisolierung ein Use-after-free-Bug.

Weitere Details zu den Anfälligkeiten hält Google zurück. Entdeckt wurden sie von einem nicht genannten Sicherheitsforscher. Auch die Höhe der Belohnung, die Google an den Forscher ausschüttet, wurde noch nicht festgelegt.

Unklar ist auch, ob die beiden neuen Zero-Day-Lücken in einem Zusammenhang mit den zuvor gepatchten Zero-Day-Lücken stehen. Auch zu ihnen fehlen bisher nahezu jegliche Hintergrundinformationen. Bekannt ist lediglich, dass mindestens eine Zero-Day-Lücke einen Sandbox-Escape unter Android ermöglicht und eine andere zusammen mit einer Zero-Day-Lücke im Windows-Kernel auch unter Windows das ausführen von Schadcode außerhalb der Sandbox erlaubt.

Möglicherweise stehen die inzwischen gestopften Sicherheitslöcher in Chrome und Windows auch in einem Zusammenhang zu Zero-Day-Lücken in iOS 14, die Apple kürzlich geschlossen hat. Auch sie wurden von Google-Forschern entdeckt.

Zero-Day-Lücken sind besonders gefährlich, weil für sie bereits Exploits existieren, die in der Regel auch schon von Hackern eingesetzt werden. Allerdings kommen Zero-Day-Lücken oftmals nur bei zielgerichteten Angriffen gegen wenige Nutzer zum Einsatz – für die meisten Anwender ist das Sicherheitsrisiko zumindest unmittelbar nach Bekanntwerden einer Zero-Day-Lücke eher gering. Trotzdem sollten verfügbare Patches stets zeitnah eingespielt werden.

Google verteilt das Update auf Chrome 86.0.4240.198 automatisch über die integrierte Update-Funktion. Im Menü des Browsers unter den Punkten „Hilfe“ und „Über Google Chrome“ lässt sich die Aktualisierung auch manuell anstoßen. Anschließend ist ein Neustart der Browsers erforderlich.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Themenseiten: Browser, Chrome, Google, Zero-Day

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google schließt erneut zwei Zero-Day-Lücken in Chrome

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *