Google schließt kritische Sicherheitslücke in Chrome

Google hat ein Sicherheitsupdate für Chrome veröffentlicht, das eine als kritisch eingestufte Schwachstelle beseitigt. Sie erlaubt es unter Umständen, aus der Ferne Schadcode einzuschleusen und außerhalb der Sandbox auszuführen – wahrscheinlich mit geringer oder gar ohne Interaktion mit einem Nutzer. Den höchsten Schweregrad vergibt Google nur an sehr wenige Anfälligkeiten in seinem Browser.

Die Sicherheitslücke steckt in der Graphics Layer Engine Angle. Google beschreibt sie als einen Type Confusion Bug. Dabei verändert ein Angreifer den Typ einer Variable, um ein unerwünschtes Verhalten einer Software auszulösen. Type Confusion Bugs treten typischerweise bei Sprachen wie JavaScript und PHP auf. Entdeckt wurde der Fehler von einem Mitarbeiter von Qrious Secure, der mit einer Prämie von 16.000 Dollar belohnt wird.

Darüber hinaus beseitigten die Entwickler einen Out-of-bounds-Speicherfehler in der V8-API und einen Use-after-free-Bug in der Komponente Dawn. Von ihnen geht jeweils ein hohes Risiko aus. Die Belohnungen für beide Schwachstelle wurden noch nicht festgelegt.

Chrome-Nutzer sollten nun zeitnah auf die Version 124.0.6367.78/.79 für Windows und macOS oder 124.0.6367.78 für Linux umsteigen. Google verteilt das Update automatisch in den kommenden Tagen oder Wochen. Die Aktualisierung lässt sich aber auch manuell anstoßen, und zwar über den Punkt „Über Google Chrome“ im Hilfe-Menü der Browsereinstellungen. Zum Abschluss der Installation ist ein Neustart von Chrome erforderlich.