Google schließt weitere Zero-Day-Lücke in Chrome

Sie erlaubt unter Umständen sogar einen Sandbox Escape. Die Schwachstelle lässt sich mit einer speziell gestalteten HTML-Seite ausnutzen. Es ist die zweite Zero-Day-Lücke in Chrome in weniger als einer Woche.

Google hat zum zweiten Mal in weniger als einer Woche ein wichtiges Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Die Aktualisierung auf die Version 112.0.5615.137/138 schließt ebenfalls eine Zero-Day-Lücke, die Google zufolge bereits aktiv für zielgerichtete Angriffe eingesetzt wird.

„Google ist sich der Verfügbarkeit einer Sicherheitslücke für CVE-2023-2136 in der Öffentlichkeit bewusst“, teilte Google erneut in den Versionshinweisen mit. Demnach kann die 2D-Grafikbibliothek Skia benutzt werden, um einen Integer-Überlauf zu provozieren. Einem Eintrag in der National Vulnerability Database zufolge kann ein Angreifer aus der Ferne den Renderer-Prozess mithilfe einer speziell gestalteten HTML-Seite kompromittieren und möglicherweise sogar Schadcode außerhalb der Sandbox ausführen.

Update enthält weitere Sicherheitspatches

Insgesamt stopft das Update acht Sicherheitslöcher – Google nennt Details zu vier weiteren Anfälligkeiten. Sie stecken in der Service Worker API, in den DevTools sowie der Komponente sqlite. Den Entdeckern der Schwachstellen zahlt Google Prämien in Höhe von 20.000 Dollar. Clément Lecigne von Googles Threat Analysis Group, der auf die Zero-Day-Lücke in Skia gestoßen ist, geht als Google-Mitarbeiter indes leer aus.

Nutzer sollten zeitnah auf die fehlerbereinigten Versionen 112.0.5615.137/138 für Windows sowie 112.0.5615.137 für macOS umsteigen. Ein Update für Linux soll in kürze folgen. Die neue Version erhalten Nutzer des Browser automatisch, unter Umständen ist jedoch ein Neustart von Chrome erforderlich, um die Installation abzuschließen.

Themenseiten: Browser, Chrome, Google, Sicherheit, Zero-Day

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google schließt weitere Zero-Day-Lücke in Chrome

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *