Chrome 117 schließt 16 Sicherheitslücken

Google hat die finale Version von Chrome 117 zum Download freigegeben. Das Update beinhaltet Fixes für 16 Sicherheitslücken, für die Google Prämien in Höhe von 18.500 Dollar ausschüttet. Angreifer können unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.

Den Versionshinweisen zufolge sind Komponenten wie Custom Tabs, Prompts, Inputs und Downloads angreifbar. Ein geringes Risiko geht von Bugs in Autofill, Picture in Picture und Interstitials aus.

Darüber hinaus listet Google erneut die Anfang der Woche geschlossene Zero-Day-Lücke mit der Kennung CVE-2023-4900. Eine speziell gestaltete Datei im WebP-Format kann offenbar einen Heap-Pufferüberlauf auslösen und eine Remotecodeausführung außerhalb der Sandbox ermöglichen.

Zero-Day in WebP betrifft auch Gimp und LibreOffice

Inzwischen wurde bekannt, dass der eigentliche Fehler in der Grafikbibliothek LibWebP steckt. Diese Bibliothek wird auch von zahlreichen anderen Anwendungen benutzt – Notfallpatches stehen unter anderem für Mozilla Firefox, Brave und Microsoft Edge zur Verfügung.

Stack Diary weist darauf hin, dass auch alle Electron-basierten Apps betroffen sind, darunter die Messenger-App Signal. Auch Brandisoft habe ein Update für seine Software Honeyview veröffentlicht. Außerdem sollen die Design-Software Affinity, Gimp, Inkscape, LibreOffice, Telegram und ffmpeg betroffen sein. Stack Diary zufolge steckt die Bibliothek außerdem in vielen Android-Apps sowie mit Flutter entwickelten Cross-Plattform-Anwendungen.

„Wie schlimm ist es? Sehr schlimm. Wenn ein Angreifer einen Heap-Pufferüberlauf ausnutzen kann, ist er möglicherweise in der Lage, die Kontrolle über ein System zu übernehmen, Daten zu stehlen oder Malware einzuschleusen. Der Schutz vor solchen Schwachstellen ist entscheidend“, warnt Stack Diary.