Google schließt kritische Zero-Day-Lücke in Chrome

Google hat einen Notfall-Patch für Chrome veröffentlicht. In dem Browser steckt eine kritische Schwachstelle, die das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht – und zwar außerhalb der Sandbox von Chrome. Zudem räumt Google ein, dass es Hinweise darauf gibt, dass die Anfälligkeit bereits aktiv von Hackern ausgenutzt wird.

Details zu den Angriffen nennt Google jedoch nicht. Mögliche Hinweise liefert indes Googles Danksagung: Entdeckt wurde der Bug von Apple in Zusammenarbeit mit dem Citizen Lab der Munk School an der University of Toronto. Die Beteiligung des Citizen Lab legt die Vermutung nahe, dass es sich um zielgerichtete Attacken gegen Politiker, Oppositionelle, Bürgerrechtler oder andere Aktivisten handelt.

Erst vor wenigen Tagen hatte Apple zwei kritische Zero-Day-Lücken in seinen Betriebssystemen geschlossen. Auch hier war das Citizen Lab an der Aufdeckung einer bereits aktiven Hacking-Kampagne beteiligt. Die beiden Löcher wurden benutzt, um die Spyware Pegasus der NSO Group einzuschleusen.

Laut Googles Sicherheitswarnung steckt die kritische Lücke im Dateiformat WebP. Wahrscheinlich kann sie mit speziell gestalteten Bildern in diesem Format ausgenutzt werden. Der jetzt verfügbar Patch soll einen Heap-Pufferüberlauf verhindern.

Betroffen sind Chrome für Windows, macOS und Linux. Nutzer sollten unverzüglich auf die fehlerbereinigten Versionen 116.0.5845.187 mit macOS und Linux sowie 116.0.5845.187/.188 für Windows umsteigen. Die Verteilung erfolgt über die Update-Funktion des Browsers. Die Aktualisierung lässt sich auch manuell über das Hilfe-Menü in den Einstellungen unter dem Punkt „Über Google Chrome“ anstoßen. Zum Abschluss der Installation ist ein Neustart erforderlich.