Google behebt sieben Fehler im Chrome-Browser

Google hat Updates für Chrome veröffentlicht, um sieben Sicherheitslücken zu schließen, von denen vier als hochriskant eingestuft werden und die in dem weltweit millionenfach genutzten Browser entdeckt wurden.

Laut einer Warnung der United States Cybersecurity & Infrastructure Agency (CISA) könnten Angreifer die Schwachstellen in Google Chrome für Windows, Mac und Linux ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen“.

Die CISA rät Nutzern, auf die neueste Version von Google Chrome – 102.0.5005.115 – zu aktualisieren, um zu verhindern, dass die Sicherheitslücken ausgenutzt werden.

Bei den risikoreichen Schwachstellen handelt es sich um CVE-2022-2007, eine Use-After-Free (UAF)-Schwachstelle in WebGPU, die es Angreifern ermöglicht, eine fehlerhafte Nutzung des dynamischen Speichers während des Programmbetriebs auszunutzen, um das Programm zu hacken, sowie um CVE-2022-2008, eine Schwachstelle beim Speicherzugriff außerhalb der Grenzen in WebGL, einer in Google Chrome verwendeten JavaScript-API. Eine Sicherheitslücke, bei der die Grenzen überschritten werden, ermöglicht es Angreifern, sensible Informationen zu lesen, auf die sie keinen Zugriff haben sollten.

Die anderen risikoreichen Sicherheitslücken in Google Chrome, die durch das Sicherheitsupdate behoben werden, sind CVE-2022-2010, eine Sicherheitslücke im Bereich des grenzüberschreitenden Lesezugriffs in der Compositing-Komponente von Chrome, und CVE-2022-2011, eine UAF-Sicherheitslücke in ANGLE, einer quelloffenen, plattformübergreifenden Grafik-Engine-Abstraktionsschicht im Backend von Chrome.

Wie Angreifer die hochriskanten Schwachstellen ausnutzen können, wurde noch nicht bekannt gegeben. Dies entspricht der Politik von Google, die darauf wartet, dass die meisten Nutzer die Updates anwenden, bevor sie weitere Details bekannt gibt.

„Der Zugang zu Fehlerdetails und Links kann eingeschränkt werden, bis die Mehrheit der Nutzer ein Update erhalten hat. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, von der andere Projekte in ähnlicher Weise abhängen, die aber noch nicht behoben wurden“, heißt es in dem Google-Blogpost über die Chrome-Veröffentlichung.

CVE-2022-2010 wurde von Googles Project Zero-Forschungsteam aufgedeckt, während die anderen von unabhängigen Sicherheitsforschern entdeckt wurden. Der Sicherheitsforscher David Manouchehri erhielt für die Entdeckung von CVE-2022-2007 ein Kopfgeld von 10.000 Dollar. Die Kopfgelder für die Forscher, die CVE-2022-2008 und CVE-2022-2011 entdeckt haben, stehen noch nicht fest.

„Wir möchten uns auch bei allen Sicherheitsforschern bedanken, die während des Entwicklungszyklus mit uns zusammengearbeitet haben, um zu verhindern, dass Sicherheitslücken jemals den stabilen Kanal erreichen“, sagte Google.