Google schließt schwerwiegende Lücken in Chrome 109

Google hat ein weiteres Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Die Version 109.0.5414.119 für Windows, macOS und Linux sowie 109.0.5414.120 für Windows schließt insgesamt sechs Lücken. Von mindestens zwei Anfälligkeiten geht ein hohes Risiko aus, was unter Umständen auch das Einschleusen und Ausführen von Schadcode einschließt.

Als besonders schwerwiegend stuft Google offenbar die Anfälligkeit mit der Kennung CVE-2023-0471 ein. Sie wurde von zwei Sicherheitsforschern bereits im Oktober 2022 gemeldet. Allein die an sie ausgeschüttete Belohnung von 16.000 Dollar lässt auf eine große Gefahr für Chrome-Nutzer schließen.

Beschrieben wird die Lücke als Use-after-Free-Bug in der Komponente WebTransport. Sie soll eigentlich eine sichere Kommunikation mit einem entfernten Server ermöglichen. Laut CVE-Eintrag muss ein Angreifer ein Opfer lediglich dazu verleiten, eine speziell gestaltete HTML-Seite mit Chrome zu öffnen.

Darüber hinaus stopft Google Löcher in den Komponenten WebRTC, ServiceWorker API und GuestView. Auch hier könnten Bedrohungsakteure unter Umständen eine Remotecodeausführung oder ein Denial-of-Service erreichen.

Nutzer, die Chrome bereits installiert haben, erhalten das Update automatisch in den kommenden Tagen. Über den Eintrag „Über Google Chrome“ im Hilfe-Menü des Browsers kann die Aktualisierung auch manuell angestoßen werden. Zum Abschluss der Installation ist ein Neustart des Browsers erforderlich.