Google schließt weitere Zero-Day-Lücke in Chrome

Google hat zum zweiten Mal in weniger als einer Woche ein wichtiges Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Die Aktualisierung auf die Version 112.0.5615.137/138 schließt ebenfalls eine Zero-Day-Lücke, die Google zufolge bereits aktiv für zielgerichtete Angriffe eingesetzt wird.

„Google ist sich der Verfügbarkeit einer Sicherheitslücke für CVE-2023-2136 in der Öffentlichkeit bewusst“, teilte Google erneut in den Versionshinweisen mit. Demnach kann die 2D-Grafikbibliothek Skia benutzt werden, um einen Integer-Überlauf zu provozieren. Einem Eintrag in der National Vulnerability Database zufolge kann ein Angreifer aus der Ferne den Renderer-Prozess mithilfe einer speziell gestalteten HTML-Seite kompromittieren und möglicherweise sogar Schadcode außerhalb der Sandbox ausführen.

Update enthält weitere Sicherheitspatches

Insgesamt stopft das Update acht Sicherheitslöcher – Google nennt Details zu vier weiteren Anfälligkeiten. Sie stecken in der Service Worker API, in den DevTools sowie der Komponente sqlite. Den Entdeckern der Schwachstellen zahlt Google Prämien in Höhe von 20.000 Dollar. Clément Lecigne von Googles Threat Analysis Group, der auf die Zero-Day-Lücke in Skia gestoßen ist, geht als Google-Mitarbeiter indes leer aus.

Nutzer sollten zeitnah auf die fehlerbereinigten Versionen 112.0.5615.137/138 für Windows sowie 112.0.5615.137 für macOS umsteigen. Ein Update für Linux soll in kürze folgen. Die neue Version erhalten Nutzer des Browser automatisch, unter Umständen ist jedoch ein Neustart von Chrome erforderlich, um die Installation abzuschließen.