Google schließt Zero-Day-Lücke in Chrome

Google hat ein wichtiges Sicherheitsupdate für Chrome veröffentlicht. Es beseitigt eine Anfälligkeit, die nach Angaben des Unternehmens bereits aktiv für Angriffe ausgenutzt wird. Bekannt ist das Problem demnach seit 11. Januar.

In den Versionshinweisen nennt Google wie immer nur weniger Details zu der Schwachstelle, um Nutzern die Möglichkeit zu geben, ihre Browser zu aktualisieren. Da der Fehler in der Java-Script-Engine V8 steckt, dürften zudem auch alle anderen auf Chrome beziehungsweise Chromium aufbauenden Browser wie Edge, Opera, Vivaldi und Brave betroffen sein.

Die Lücke mit der Kennung CVE-2024-0519 beschreibt Google als Out-of-Bounds-Speicherzugriff. Laut NIST lässt sich der Bug mit einer speziell gestalteten HTML-Seite ausnutzen. Google bewertet das von der Schwachstelle ausgehende Risiko als „hoch“.

Außerdem haben die Entwickler drei weitere Schwachstellen gestopft. Darunter ist ein weiterer Out-of-Bounds-Schreibfehler in V8 und ein Type-Confusion-Bug in V8. Beide sind ebenfalls mit „hoch“ bewertet. Google zahlt den Entdeckern dieser beiden Schwachstellen eine Belohnung von insgesamt 17.000 Dollar. Die Höhe der Prämie für die Zero-Day-Lücke wurde indes noch nicht festgelegt.

Nutzer sollten nun zeitnah auf die fehlerbereinigte Version 120.0.6099.234 für macOS, 120.0.6099.224 für Linux oder Version 120.0.6099.224/225 für Windows umsteigen. Der Extended Stable Channel wurde zudem auf die Version 120.0.6099.234 für macOS und 120.0.6099.225 für Windows aktualisiert. Die neue Version wird wie immer über die Updatefunktion von Chrome verteilt. Über das Hilfe-Menü der Einstellungen kann mit einem Klick auf den Punkt „Über Google Chrome“ das Update auf manuell angestoßen werden. Zum Abschluss der Installation ist ein Neustart des Browsers erforderlich.