Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Nach Mozilla hat nun auch Google ein Browserupdate veröffentlicht, das Sicherheitslücken schließt, die beim Hackerwettbewerb Pwn2Own 2024 präsentiert wurden. Es steht für Windows, macOS und Linux bereit und stopft insgesamt sieben zum Teil kritische Löcher.

Die beiden bei Pwn2Own gezeigten Lücken bewertet Google als „hoch“. Die erste Schwachstelle brachte einem Mitarbeiter von Kaist Hacking Lab 85.000 Dollar ein. Dabei handelt es sich um einen Use-after-free-Bug in WebCodecs, der eine Remotecodeausführung im Kontext des Renderer-Prozesses erlaubt. Bei seiner Präsentation startete er über Google Chrome die Eingabeaufforderung von Chrome.

Die zweite Anfälligkeit beschreibt Google als Type Confusion in WebAssembly. Der Entdecker dieser Lücke, der Nutzer Manfred Paul, startete bei seinem Angriff den Windows-Taschenrechner, womit er sich eine Prämie von 42.500 Dollar sicherte.

In den Versionshinweisen nennt Google Details zu zweiteren Lücken, ein Use-after-free-Bug in Dawn und ein weiterer Use-after-free-Bug in Angle. Ersteren stuft Google zudem als kritisch ein, was in der Regel für eine Remotecodeausführung außerhalb der Browser-Sandbox spricht. Ausnutzen lässt sich dieser Fehler offenbar mit einer speziell gestalteten HTML-Seite, die in Chrome angezeigt wird.

Nutzer des Google-Browsers sollten möglichst zeitnah auf die fehlerbereinigte Version 123.0.6312.86/.87 für Windows und macOS oder 123.0.6312.86 für Linux umsteigen. Sie wird über die Update-Funktion des Browsers verteilt.