Nutzer des Google-Browsers Chrome sollten zeitnah auf die ab sofort verfügbare neue Version 115.0.5790.170 für macOS und Linux beziehungsweise 115.0.5790.170/171 für Windows umsteigen. Das Update behebt mehrere schwerwiegende Sicherheitslücken, von denen nach Einschätzung der Entwickler ein hohes Risiko ausgeht.
Das trifft unter anderem auf drei Type-Confusion-Bugs in der JavaScript-Engine V8 zu. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und in der Sandbox des Browsers ausführen. Ein Opfer muss lediglich dazu verleitet werden, eine speziell gestaltete HTML-Seite in Chrome zu öffnen.
Ebenfalls mit „High“ wurden ein Heap-Pufferüberlauf in Visuals sowie zwei Out-of-Bounds-Speicherfehler in WebGL und Angle bewertet. Drei weitere schwerwiegende Schwachstellen stecken in der Browser-Engine Blink und in den Komponenten Cast und WebRTC. Auch hier sind Angriffe aus der Ferne beim Besuch einer speziell gestalteten Website möglich. Darüber hinaus nennt Google in den Versionshinweisen Details zu zwei mittelschweren Anfälligkeiten in der Komponente Extension, ausgelöst durch eine unzureichende Überprüfung von Eingaben sowie eine unangemessene Implementierung.
Den Entdeckern von zehn Bugs zahlt Google Sicherheitsprämien in Höhe von 123.000 Dollar. Der Nutzer Jerry erhält für Details zu zwei Fehlern in V8 alleine 43.000 Dollar. Weitere 21.000 Dollar gehen an Man Yue Mo von GitHub Security Lab, sowie 17.000 Dollar an Guang und Weipeng Jiang von VRI. Auf den Fehler in WebGL wurde Google von Apple Security Engineering and Architecture aufmerksam gemacht und mit einer Prämie von 15.000 Dollar belohnt.
Google verteilt die neue Version ab sofort über die Update-Funktion von Chrome. Die Aktualisierung lässt sich auch manuell über den Punkt „Über Google Chrome“ im Hilfe-Menü der Einstellungen anstoßen. Zum Abschluss der Installation ist ein Neustart erforderlich.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.