Google schließt schwerwiegende Sicherheitslöcher in Chrome

Google hat ein weiteres Sicherheitsupdate für seinen Browser Chrome zum Download freigegeben. Es stopft insgesamt sechs Sicherheitslöcher, wobei von mindestens vier Anfälligkeiten ein hohes Risiko ausgeht. Eine der Schwachstellen stuft Google offenbar als besonders schwerwiegend ein, da der Entdecker mit einer Prämie von 20.000 Dollar belohnt wurde.

Gemeldet wurde der Fehler von einem Teilnehmer des Hackerwettbewerbs SSD Secure Disclosure’s TyphoonPWN2024, der Anfang Juni stattfand. Dabei handelt es sich um einen Type Confusion Bug in der JavaScript-Engine V8.

Üblicherweise lassen sich solche Lücken mit speziell gestalteten HTML-Dateien ausnutzen. Ein Angreifer muss sein Opfer lediglich auf eine von ihm kontrollierte Website locken, beispielsweise über einen per Messenger oder E-Mail verschickten bösartigen Link. Wird der Link mit Chrome geöffnet, kann der Angreifer unter Umständen eine Remotecodeausführung erreichen – was offenbar im Rahmen des Hackerwettbewerbs erfolgreich demonstriert wurde.

Darüber hinaus beseitigt Google mit dem Update eine unzureichende Implementierung in WebAssembly und zwei Speicherfehler in Dawn. Details nannte das Unternehmen in den Versionshinweisen lediglich zu vier der sechs Schwachstellen.

Nutzer sollten nun zeitnah auf die fehlerbereinigte Version 126.0.6478.114/.115 für Windows und macOS oder 126.0.6478.114 für Linux umsteigen. Die Verteilung erfolgt in den kommenden Tagen oder Wochen über die automatische Update-Funktion des Browser. Die Aktualisierung lässt sich aber auch über den Punkt „Über Google Chrome“ im Hilfe-Menü der Browsereinstellungen manuell anstoßen. Für den Abschluss der Installation ist ein Neustart des Browsers erforderlich.