Wie geplant hat Google seinen Webbrowser Chrome in Version 114 veröffentlicht. Insgesamt werden in der neuen Version 16 teils hochriskante Sicherheitslücken geschlossen. Einige Sicherheitsfunktionen wurden außerdem hinzugefügt oder verbessert.

Acht von den 16 ausgebesserten Schwachstellen gelten als hohes Risiko, vier als mittleres und eine als niedriges. Zu den drei restlichen Schwachstellen liefert Google keine Informationen.

Am schwerwiegendsten ist eine Schwachstelle in der Swiftshader-Komponente, durch die Angreifer einen Schreibzugriff außerhalb des vorgesehenen Speicherbereichs auslösen können (CVE-2023-2929, noch kein CVSS, Risiko "hoch"). Nachdem in "Extensions" Ressourcen freigegeben wurden, können Angreifer erneut darauf zugreifen, die Komponente enthält eine Use-after-free-Lücke (CVE-2023-2930, kein CVSS, hoch).

Gleich von drei solcher Use-after-free-Schwachstellen ist der integrierte PDF-Reader betroffen (CVE-2023-2931, CVE-2023-2932, CVE-2023-2933, ohne CVSS, hoch). Angreifer können auch in der Javascript-Engine V8 Sicherheitslücken ausnutzen, die auf Type-Confusion-Fehlern beruhen (CVE-2023-2935, CVE-2023-2936, kein CVSS, hoch).

Laut den Release-Notes für die Enterprise- und Education-Version von Chrome für Android, ChromeOS und Linux wandert der Zertifikat-Root-Store in den Browser, ebenso wie die Zertifikatsverifizierung. Unter Mac und Windows ist dies bereits Standard.

Die neuen Versionsstände des Webbrowsers lauten Chrome 114.0.5735.57/.58 für Android, 114.0.5735.50 für iOS, 114.0.5735.90 für Linux und Mac sowie 114.0.5735.90/91 für Windows. Die "Extended Stable"-Fassung hat die Versionen 114.0.5735.90 für Mac und 114.0.5735.91 für Windows erhalten.

Die Prof. Hellberg EDV-Beratung empfiehlt allen Nutzern des Webbrowsers Chrome, die Updates zügig einzuspielen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE