Categories: BrowserWorkspace

Google behebt sieben Fehler im Chrome-Browser

Google hat Updates für Chrome veröffentlicht, um sieben Sicherheitslücken zu schließen, von denen vier als hochriskant eingestuft werden und die in dem weltweit millionenfach genutzten Browser entdeckt wurden.

Laut einer Warnung der United States Cybersecurity & Infrastructure Agency (CISA) könnten Angreifer die Schwachstellen in Google Chrome für Windows, Mac und Linux ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen“.

Die CISA rät Nutzern, auf die neueste Version von Google Chrome – 102.0.5005.115 – zu aktualisieren, um zu verhindern, dass die Sicherheitslücken ausgenutzt werden.

Bei den risikoreichen Schwachstellen handelt es sich um CVE-2022-2007, eine Use-After-Free (UAF)-Schwachstelle in WebGPU, die es Angreifern ermöglicht, eine fehlerhafte Nutzung des dynamischen Speichers während des Programmbetriebs auszunutzen, um das Programm zu hacken, sowie um CVE-2022-2008, eine Schwachstelle beim Speicherzugriff außerhalb der Grenzen in WebGL, einer in Google Chrome verwendeten JavaScript-API. Eine Sicherheitslücke, bei der die Grenzen überschritten werden, ermöglicht es Angreifern, sensible Informationen zu lesen, auf die sie keinen Zugriff haben sollten.

Die anderen risikoreichen Sicherheitslücken in Google Chrome, die durch das Sicherheitsupdate behoben werden, sind CVE-2022-2010, eine Sicherheitslücke im Bereich des grenzüberschreitenden Lesezugriffs in der Compositing-Komponente von Chrome, und CVE-2022-2011, eine UAF-Sicherheitslücke in ANGLE, einer quelloffenen, plattformübergreifenden Grafik-Engine-Abstraktionsschicht im Backend von Chrome.

Wie Angreifer die hochriskanten Schwachstellen ausnutzen können, wurde noch nicht bekannt gegeben. Dies entspricht der Politik von Google, die darauf wartet, dass die meisten Nutzer die Updates anwenden, bevor sie weitere Details bekannt gibt.

„Der Zugang zu Fehlerdetails und Links kann eingeschränkt werden, bis die Mehrheit der Nutzer ein Update erhalten hat. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, von der andere Projekte in ähnlicher Weise abhängen, die aber noch nicht behoben wurden“, heißt es in dem Google-Blogpost über die Chrome-Veröffentlichung.

CVE-2022-2010 wurde von Googles Project Zero-Forschungsteam aufgedeckt, während die anderen von unabhängigen Sicherheitsforschern entdeckt wurden. Der Sicherheitsforscher David Manouchehri erhielt für die Entdeckung von CVE-2022-2007 ein Kopfgeld von 10.000 Dollar. Die Kopfgelder für die Forscher, die CVE-2022-2008 und CVE-2022-2011 entdeckt haben, stehen noch nicht fest.

„Wir möchten uns auch bei allen Sicherheitsforschern bedanken, die während des Entwicklungszyklus mit uns zusammengearbeitet haben, um zu verhindern, dass Sicherheitslücken jemals den stabilen Kanal erreichen“, sagte Google.

Jakob Jung

Recent Posts

Bitdefender: Schwachstelle in Device42

Wegen einer mittlerweile behobenen Schwachstelle in Device42 gibt Bitdefender eine Empfehlung zum Update auf die…

40 Minuten ago

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

2 Tagen ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

2 Tagen ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

2 Tagen ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

2 Tagen ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

3 Tagen ago