Mit einer aktualisierten Version schließt Google in seinem Webbrowser Chrome sechs hoch riskante Sicherheitslücken. Bereits beim Besuch präparierter Webseiten könnten Angreifer arglosen Opfern dadurch möglicherweise Schadcode unterschieben.

In der Versionsankündigung nennt Google wie üblich keine Details zu den Schwachstellen. Allerdings gibt es eine kurze Zusammenfassungen zur betroffenen Komponente. Zudem listet der Entwickler zu allen sechs angekündigten Fehlerbehebungen die betroffenen Browser-Module auf.

Bei der schwerwiegendsten Sicherheitslücke handelt es sich um eine sogenannte Use-after-free-Schwachstelle in der 2D-Grafikbibliothek Skia (CVE-2022-3445). Der Programmcode greift dabei fälschlicherweise auf Zeiger oder Speicherbereiche zu, die bereits wieder freigegeben wurden und daher zunächst undefinierte Inhalte enthalten. In der Regel führt dies zu einem Absturz, oftmals lässt sich dadurch sogar eingeschleuster Schadcode ausführen.

Weiterhin wurde ein Heap-basierter Pufferüberlauf in der WebSQL-Komponente des Webbrowsers behandelt (CVE-2022-3446). Von einer unangemessenen Implementierung der Custom Tabs geht auch ein hohes Risiko aus (CVE-2022-3447). Mit hohem Risiko sind drei weitere Schwachstellen alle vom Typ Use-after-free und betreffen die Browser-Komponenten Permissions API, Safe Browsing sowie Peer Connection (CVE-2022-3448, CVE-2022-3449, CVE-2022-3450).

Für Linux, Mac und Windows ist jetzt die aktuelle stabile Version 106.0.5249.119 von Chrome verfügbar und enthält die Schwachstellen nicht mehr. Für Mac und Windows hat die aktualisierte extended stable-Fassung dieselbe Versionsnummer. Version 106.0.5249.118 ist der aktuelle Stand unter Android.

Das Team der Hellberg EDV-Beratung empfiehlt allen Nutzern des Webbrowsers Chrome dringend, das aktuelle Update einzuspielen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE