Google hat Updates für Chrome veröffentlicht, um sieben Sicherheitslücken zu schließen, von denen vier als hochriskant eingestuft werden und die in dem weltweit millionenfach genutzten Browser entdeckt wurden.
Laut einer Warnung der United States Cybersecurity & Infrastructure Agency (CISA) könnten Angreifer die Schwachstellen in Google Chrome für Windows, Mac und Linux ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen“.
Die CISA rät Nutzern, auf die neueste Version von Google Chrome – 102.0.5005.115 – zu aktualisieren, um zu verhindern, dass die Sicherheitslücken ausgenutzt werden.
Bei den risikoreichen Schwachstellen handelt es sich um CVE-2022-2007, eine Use-After-Free (UAF)-Schwachstelle in WebGPU, die es Angreifern ermöglicht, eine fehlerhafte Nutzung des dynamischen Speichers während des Programmbetriebs auszunutzen, um das Programm zu hacken, sowie um CVE-2022-2008, eine Schwachstelle beim Speicherzugriff außerhalb der Grenzen in WebGL, einer in Google Chrome verwendeten JavaScript-API. Eine Sicherheitslücke, bei der die Grenzen überschritten werden, ermöglicht es Angreifern, sensible Informationen zu lesen, auf die sie keinen Zugriff haben sollten.
Die anderen risikoreichen Sicherheitslücken in Google Chrome, die durch das Sicherheitsupdate behoben werden, sind CVE-2022-2010, eine Sicherheitslücke im Bereich des grenzüberschreitenden Lesezugriffs in der Compositing-Komponente von Chrome, und CVE-2022-2011, eine UAF-Sicherheitslücke in ANGLE, einer quelloffenen, plattformübergreifenden Grafik-Engine-Abstraktionsschicht im Backend von Chrome.
Wie Angreifer die hochriskanten Schwachstellen ausnutzen können, wurde noch nicht bekannt gegeben. Dies entspricht der Politik von Google, die darauf wartet, dass die meisten Nutzer die Updates anwenden, bevor sie weitere Details bekannt gibt.
„Der Zugang zu Fehlerdetails und Links kann eingeschränkt werden, bis die Mehrheit der Nutzer ein Update erhalten hat. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, von der andere Projekte in ähnlicher Weise abhängen, die aber noch nicht behoben wurden“, heißt es in dem Google-Blogpost über die Chrome-Veröffentlichung.
CVE-2022-2010 wurde von Googles Project Zero-Forschungsteam aufgedeckt, während die anderen von unabhängigen Sicherheitsforschern entdeckt wurden. Der Sicherheitsforscher David Manouchehri erhielt für die Entdeckung von CVE-2022-2007 ein Kopfgeld von 10.000 Dollar. Die Kopfgelder für die Forscher, die CVE-2022-2008 und CVE-2022-2011 entdeckt haben, stehen noch nicht fest.
„Wir möchten uns auch bei allen Sicherheitsforschern bedanken, die während des Entwicklungszyklus mit uns zusammengearbeitet haben, um zu verhindern, dass Sicherheitslücken jemals den stabilen Kanal erreichen“, sagte Google.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…