Google stopft kritisches Loch in Chrome

Google hat ein Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Die Versionen 114.0.5735.133 für Mac, Linux und Windows sowie 114.0.5735.134 für Windows schließen insgesamt fünf Löcher. Eine Anfälligkeit versieht Google mit dem höchsten Schweregrad „kritisch“.

Die Bewertung erhält ein Use-after-Free-Bug in der Funktion Autofill Payments. Ein Angreifer kann offenbar über eine speziell gestaltete HTML-Seite Schadcode einschleusen und auch außerhalb der Sandbox des Browsers ausführen.

Auch WebRTC und V8 angreifbar

Details nennt Google zu drei weiteren Schwachstellen. Sie stecken in den Komponenten WebRTC, WebXR sowie der JavaScript-Engine V8. Google stuft das von ihnen ausgehende Risiko jeweils als hoch ein, was die Möglichkeit einer Remotecodeausführung innerhalb der Sandbox nahelegt.

Entdeckt wurden die Fehler von externen Sicherheitsforschern sowie vom Google-Mitarbeiter Sergei Glazunov. Nur zu einer Lücke nennt Google auch die Höhe der Sicherheitsprämie: 3000 Dollar gehen an einen Nutzer namens asnine.

Google zufolge gibt es bisher keine Hinweise darauf, dass eine der Anfälligkeiten bereits aktiv ausgenutzt wird. Trotzdem sollten Nutzer im Menü des Browsers unter dem Punkt Hilfe auf „Über Google Chrome“ klicken, um ein manuelles Update anzustoßen. Anschließend ist ein Neustart der Anwendung erforderlich, um die Installation abzuschließen.

Die fünf Lücken sollten auch andere Chromium-basierte Browser wie Edge und Opera betreffen. Updates werden von den jeweiligen Herstellern in der Regeln ebenfalls zeitnah bereitgestellt – im Fall von Microsoft wahrscheinlich bereits im Rahmen des aktuellen Patchdays.