Google schließt schwerwiegende Sicherheitslücken in Chrome

Google hat ein Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Es beseitigt drei Anfälligkeiten, von denen ein hohes Risiko ausgeht. Angreifbar ist unter anderem die JavaScript-Engine V8.

In einem Security Bulletin beschreibt Google zwei Schwachstellen in V8. Die erste erlaubt einen Out-of-Bounds-Speicherzugriff. Bei dem zweiten Fehler soll es sich um eine unsachgemäße Implementierung handeln die laut US-NIST einen Speicherfehler auslösen könnte. Beide Lücken lassen sich demnach mit einer speziell gestalteten HTML-Seite ausnutzen. Ein Angreifer muss ein Opfer also offenbar nur dazu verleiten, eine spezielle gestaltete Website mit Chrome zu öffnen.

Darüber hinaus beseitigt Google einen Use-after-free-Bug in der Komponenten FedCM, einer Programmierschnittstelle, die die Anmeldung mit Cookies von Drittanbietern steuert. Auch diese Anfälligkeit ist als „High“ bewertet.

Ein Hinweis auf den Schweregrad sind in der Regel auch die ausgeschütteten Prämien. So gehen an den Entdecker der beiden Lücken in V8 insgesamt 19.000 Dollar. Ein anonymer Forscher, der die Details zum Bug in FedCM übermittelt hat, erhält 6000 Dollar.

Betroffen sind Chrome für Windows, macOS und Linux. Nutzer des Browsers sollten zeitnah auf die fehlerbereinigten Versionen 122.0.6261.111 für macOS und Linux beziehungsweise 122.0.6261.111/112 für Windows umsteigen. Die neuen Versionen werden über die integrierte Update-Funktion von Chrome verteilt. Um eine manuelle Aktualisierung anzustoßen, muss im Hilfe-Menü des Browsers die Option „Über Google Chrome“ angeklickt werden. Zum Abschluss der Installation ist in der Regel ein Neustart des Browsers erforderlich.