Chrome 109 schließt 17 Sicherheitslücken

Google hat die finale Version von Chrome 109 zum Download freigegeben. Das Update steht für Windows, macOS und Linux zur Verfügung. Es schließt 17 Sicherheitslücken, von denen zwei mit der Risikostufe „Hoch“ bewertet sind.

Das gilt für einen Use-after-free-Bug in der Komponenten Overview Mode sowie einen Heap-Pufferüberlauf in Network Service. Beide Fehler könnten Angreifer in die Lage versetzen, aus der Ferne Schadcode einzuschleusen und innerhalb der Sandbox des Browsers auszuführen. Entdeckt wurden die Schwachstellen von externen Sicherheitsforschern, die mit 4000 sowie 2000 Dollar belohnt werden.

Weitere Anfälligkeiten stecken unter anderem in den Komponenten Sandbox, Berechtigungen, Fullscreen API, Downloads und File System API. Unter anderem prüft Chrome offenbar Downloads unzureichend auf ihre Vertrauenswürdigkeit. Ein ähnlicher Fehler tritt bei der Prüfung von Berechtigungen auf.

Insgesamt schüttet Google für Chrome 109 Sicherheitsprämien in Höhe von 39.000 Dollar aus. Davon gehen 8000 Dollar an Michael Dau, der Details zu einem Heap-Pufferüberlauf in der Bibliothek libphonenumber an Google meldete. Von dieser Schwachstelle geht allerdings nur ein geringes Risiko aus – die Höhe der von Google gezahlten Belohnungen richtet sich nicht nur nach dem Schweregrad.

Ab Chrome 110 ändert Google den Release-Zeitplan seines Browsers. Künftig – erstmals am 1. Februar, soll es ein vorgezogenes Early Stable Release geben. Es wird laut Google nur an einen kleine Prozentsatz aller Benutzer verteilt. Google will somit sicherstellen, dass schwerwiegende Probleme aufgedeckt werden, bevor ein stabiles Release an die Allgemeinheit verteilt wird. Die „reguläre“ stabile Version soll dann eine Woche nach der Early Stable veröffentlicht werden.