Für seinen Webbrowser Chrome hat Google zum dritten Mal diese Woche ein Notfall-Sicherheitsupdate veröffentlicht. Erneut existiert für eine neue Zero-Day-Lücke im Browser ein Exploit in freier Wildbahn. Mit diesem Sicherheitsupdate geht Google in den 125-Entwicklungszweig.

Laut Google wurden mit dem jüngsten Sicherheitsupdate insgesamt neun Sicherheitslücken geschlossen. Zwei davon wurden als hohes Risiko, eine als mittleres und eine als niedriger Bedrohungsgrad eingestuft.

Die Javascript-Engine V8 ist von einer Type-Confusion-Lücke betroffen. Verarbeitete Datentypen passen dabei nicht zu den im Programmcode vorgesehenen und kann somit zum Überschreiten von Speichergrenzen und in manchen Fällen zum Ausführen von eingeschleustem Code führen. Über diesem Weg könnten Angreifer die Lücke beispielsweise mit einer bösartig manipulierten Webseite missbrauchen, um beliebigen Code innerhalb einer Sandbox auszuführen (CVE-2024-4947, kein CVSS-Wert, Risiko laut Google "hoch"). Laut Google existieren für diese Sicherheitslücke Exploits, die in freier Wildbahn kursieren.

Eine Use-after-free-Schwachstelle in der Browser-Komponente Dawn (CVE-2024-4948, hoch), in der V8-Javbascript-Engine (CVE-2024-4949, mittel) und eine unangemessene Implementierung in Downloads (CVE-2024-4950, niedrig) gehören zu den weiteren Lücken.

Für macOS und Windows lautet die abgesicherte Version für den Webbrowser Chrome 125.0.6422.60/.61, für Linux 125.0.6422.60 und für Android 125.0.6422.53. Zudem wurde die Extended-Stable-Version für macOS und Windows auf die Version 124.0.6367.221 angehoben.

Die Prof. Hellberg EDV-Beratung empfiehlt allen Nutzern des Webbrowsers, die Sicherheitsupdates frühzeitig zu installieren!

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE