Chrome 124 schließt 23 Sicherheitslücken

Google hat Chrome auf die Version 124 aktualisiert. Das Update steht für Windows, macOS und Linux zum Download bereit. Den Versionshinweisen zufolge werden 23 zum Teil schwerwiegende Sicherheitslöcher gestopft. Darunter ist mindestens eine Schwachstelle, die einen Sandbox Escape ermöglicht.

Sie ist eine von vier Anfälligkeit, von denen laut Google ein hohes Sicherheitsrisiko ausgeht. Entdeckt wurde sie von einem Mitarbeiter des Kaist Hacking Lab, der den Fehler im März auf dem Hackerwettbewerb Pwn2Own vorführte. Bei der Präsentation seines Angriffs startete er die Eingabeaufforderung und führte Code aus, um den Schriftzug „Pwned!“ anzuzeigen – was ihm eine Belohnung von 85.000 Dollar einbrachte.

Nach Angaben des Veranstalters, der Zero Day Initiative, nutzte der Forscher einen Use-after-free-Bug in der JavaScript-Engine V8, um über den Renderer eine Remotecodeausführung zu erreichen. Davon betroffen ist demnach auch Microsoft Edge.

Zwei weitere Bugs mit hohem Risiko wurden von GitHub Security Lab an Google gemeldet. Sie werden als Object Corruption in V8 sowie WebAssembly beschrieben und von Google mit insgesamt 30.000 Dollar belohnt. Die vierte mit „High“ bewertete Schwachstelle ist ein Use-after-free-Bug in Downloads, für die der Forscher Chaobin Zhang 3000 Dollar von Google erhält.

Nutzer sollten nun möglichst zeitnah auf Chrome 124.0.6367.60/.61 für Windows und macOS oder 124.0.6367.60 für Linux umsteigen. Das Update, das Google über die automatische Updatefunktion verteilt, lässt sich auch manuell anstoßen. Dafür muss lediglich der Punkt „Über Google Chrome“ im Hilfemenü der Einstellungen aufgerufen werden. Zum Abschluss der Installation ist zudem ein Neustart des Browsers erforderlich.