In der Nacht zum Mittwoch hat Google für seinen Webbrowser Chrome ein Update veröffentlicht. Mindestens eine kritische Sicherheitslücke wird damit geschlossen. Angreifer könnten darüber Schadcode einschmuggeln und ausführen.

Google schreibt in der Versionsankündigung, dass das Update insgesamt zwölf Sicherheitslücken abdichtet. Mindestens eine der Lücken ist kritisch, vier bergen ein hohes Sicherheitsrisiko und eine wurde von Googles Entwickler als mittlere Bedrohung eingestuft.

Die kritische Sicherheitslücke ist vom Typ Use-after-free in der Navigations-Komponente. Der Programmcode greift dabei fälschlicherweise auf bereits freigegebene Ressourcen zu, deren Inhalt dadurch undefiniert ist und möglicherweise Schadcode enthält oder referenziert. Die Entwickler erläutern im CVE-Eintrag, dass es sich um eine Speicherverwürfelung auf dem Heap handele. Angreifer können dies "möglicherweise mittels manipulierter Webseite missbrauchen" (CVE-2023-2721, noch kein CVSS-Wert, Risiko laut Google "kritisch").

Drei von den aufgelisteten hochriskanten Lücken sind ebenfalls Use-after-free-Schwachstellen in den Komponenten DevTools, Autofill-UI und Guest-View (CVE-2023-2722, CVE-2023-2723, CVE-2023-2725, ohne CVSS, hochriskant). Ein Type-Confusion-Fehler kann in der JavaScript-Engine V8 auftreten. Dabei verwendete Datentypen passen nicht zueinander und es können ungewollt Zugriffe auf nicht vorgesehene Speicherbereiche stattfinden (CVE-2023-2724, kein CVSS, hoch).

Die ausgebesserten Version sind 113.0.5672.126/.127 für Windows, 113.0.5672.121 für iOS und 113.0.5672.126 für Linux und Mac. Google bringt die Extended-Stable-Fassung des Webbrowsers für Mac und Windows derweil auf Version 112.0.5615.204.

Die Professor Hellberg EDV-Beratung empfiehlt allen Nutzern des Webbrowsers Chrome, die Updates umgehend zu installieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE