Google schließt schwerwiegende Sicherheitslücke in Chrome

Google hat ein Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Es stopft insgesamt drei Löcher, von denen nach Unternehmensangaben ein hohes Risiko ausgeht. Mindestens eine Anfälligkeit erlaubt jedoch das Einschleusen und Ausführen von Schadcode.

Die Schwachstelle mit der Kennung CVE-2024-3159 beschreibt Google als Out-of-Bounds-Speicherzugriff. Der Fehler steckt in der JavaScript-Engine V8. Entdeckt wurde der Bug von zwei Mitarbeiter von Palo Alto Networks.

Details der Schwachstelle zeigten die Forscher Ende März beim Hackerwettbewerb Pwn2Own. Laut Zero Day Initiative, Veranstalter des Wettbewerbs, kombinierten sie die Sicherheitslücke mit einer neuen Technik, um Sicherheitsmaßnahmen von V8 zu umgehen. So waren sie in der Lage, mit dem in Chrome eingeschleusten Code die Windows-App Notepad zu starten. Ihre Präsentation brachte ihnen 42,500 Dollar ein.

Darüber hinaus beseitigt Google eine fehlerhafte Implementierung in V8 und einen Use-after-free-Bug in Bookmarks. Die Entdecker dieser beiden Schwachstellten belohnt Google mit insgesamt 10.000 Dollar.

Nutzer sollten möglichst zeitnah das Update auf Chrome 123.0.6312.105/.106/.107 für Windows und macOS beziehungsweise 123.0.6312.105 für Linux einspielen. Das gilt vor allem, falls Chrome noch nicht auf die Version 123.0.6312.86/.87 aktualisiert wurde. Microsoft zufolge enthält dieses Update nämlich einen Fix für eine Zero-Day-Lücke, die Microsoft in einem aktuellen Update für seinen Browser Edge einräumt – und die Google in seinen Versionshinweisen nicht erwähnt.

Über den Punkt „Über Google Chrome“ im Hilfemenü der Einstellungen lässt sich überprüfen, welche Version von Chrome installiert ist. Zudem wird darüber eine manuelle Aktualisierung, falls verfügbar, angestoßen.