Categories: BrowserWorkspace

Chrome 117 schließt 16 Sicherheitslücken

Google hat die finale Version von Chrome 117 zum Download freigegeben. Das Update beinhaltet Fixes für 16 Sicherheitslücken, für die Google Prämien in Höhe von 18.500 Dollar ausschüttet. Angreifer können unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.

Den Versionshinweisen zufolge sind Komponenten wie Custom Tabs, Prompts, Inputs und Downloads angreifbar. Ein geringes Risiko geht von Bugs in Autofill, Picture in Picture und Interstitials aus.

Darüber hinaus listet Google erneut die Anfang der Woche geschlossene Zero-Day-Lücke mit der Kennung CVE-2023-4900. Eine speziell gestaltete Datei im WebP-Format kann offenbar einen Heap-Pufferüberlauf auslösen und eine Remotecodeausführung außerhalb der Sandbox ermöglichen.

Zero-Day in WebP betrifft auch Gimp und LibreOffice

Inzwischen wurde bekannt, dass der eigentliche Fehler in der Grafikbibliothek LibWebP steckt. Diese Bibliothek wird auch von zahlreichen anderen Anwendungen benutzt – Notfallpatches stehen unter anderem für Mozilla Firefox, Brave und Microsoft Edge zur Verfügung.

Stack Diary weist darauf hin, dass auch alle Electron-basierten Apps betroffen sind, darunter die Messenger-App Signal. Auch Brandisoft habe ein Update für seine Software Honeyview veröffentlicht. Außerdem sollen die Design-Software Affinity, Gimp, Inkscape, LibreOffice, Telegram und ffmpeg betroffen sein. Stack Diary zufolge steckt die Bibliothek außerdem in vielen Android-Apps sowie mit Flutter entwickelten Cross-Plattform-Anwendungen.

„Wie schlimm ist es? Sehr schlimm. Wenn ein Angreifer einen Heap-Pufferüberlauf ausnutzen kann, ist er möglicherweise in der Lage, die Kontrolle über ein System zu übernehmen, Daten zu stehlen oder Malware einzuschleusen. Der Schutz vor solchen Schwachstellen ist entscheidend“, warnt Stack Diary.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

DeepL erweitert API um LLM der nächsten Generation und Schreibassistenten

API‑Lösung bietet eine noch höhere Übersetzungsqualität und KI‑gestützte Textverbesserungen.

23 Stunden ago

Wahl: Mehrheit fürchtet Einflussnahme aus dem Ausland

88 Prozent glauben, dass ausländische Akteure die Wahl per Social Media manipulieren. Ein Drittel ist…

1 Tag ago

Marktüberwachung 2024: 5,3 Mio. Geräte fielen durch

Die Bundesnetzagentur hat 8.000 Gerätetypen ermittelt, die gesetzliche Anforderungen nicht erfüllten und zum Teil erhebliche…

1 Tag ago

Amazon übertrifft die Erwartungen im vierten Quartal

Der Nettogewinn klettert um fast 100 Prozent auf 20 Milliarden Dollar. Anlegern missfällt indes eine…

1 Tag ago

Tabletmarkt wächst 2024 um 9 Prozent

Apple baut seinen Vorsprung vor Samsung aus. Auch in diesem Jahr sollen die Verkaufszahlen ansteigen.

2 Tagen ago

Hacker nutzen DeepSeek und Qwen zur Entwicklung bösartiger Inhalte aus

Check Point Research wechseln Cyber-Kriminelle verstärkt von ChatGPT zu DeepSeek und Qwen.

2 Tagen ago