Categories: BrowserWorkspace

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Nach Mozilla hat nun auch Google ein Browserupdate veröffentlicht, das Sicherheitslücken schließt, die beim Hackerwettbewerb Pwn2Own 2024 präsentiert wurden. Es steht für Windows, macOS und Linux bereit und stopft insgesamt sieben zum Teil kritische Löcher.

Die beiden bei Pwn2Own gezeigten Lücken bewertet Google als „hoch“. Die erste Schwachstelle brachte einem Mitarbeiter von Kaist Hacking Lab 85.000 Dollar ein. Dabei handelt es sich um einen Use-after-free-Bug in WebCodecs, der eine Remotecodeausführung im Kontext des Renderer-Prozesses erlaubt. Bei seiner Präsentation startete er über Google Chrome die Eingabeaufforderung von Chrome.

Die zweite Anfälligkeit beschreibt Google als Type Confusion in WebAssembly. Der Entdecker dieser Lücke, der Nutzer Manfred Paul, startete bei seinem Angriff den Windows-Taschenrechner, womit er sich eine Prämie von 42.500 Dollar sicherte.

In den Versionshinweisen nennt Google Details zu zweiteren Lücken, ein Use-after-free-Bug in Dawn und ein weiterer Use-after-free-Bug in Angle. Ersteren stuft Google zudem als kritisch ein, was in der Regel für eine Remotecodeausführung außerhalb der Browser-Sandbox spricht. Ausnutzen lässt sich dieser Fehler offenbar mit einer speziell gestalteten HTML-Seite, die in Chrome angezeigt wird.

Nutzer des Google-Browsers sollten möglichst zeitnah auf die fehlerbereinigte Version 123.0.6312.86/.87 für Windows und macOS oder 123.0.6312.86 für Linux umsteigen. Sie wird über die Update-Funktion des Browsers verteilt.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Copilot Pro: Microsoft streicht GPT Builder – nach nur drei Monaten

Die Änderung gilt zumindest für die Consumer-Version von Copilot. Die Zukunft des GPT Builder für…

10 Stunden ago

QR-Code-Phishing 3.0: Verseuchte Codes mit ASCII-Zeichen

Per HTML und ASCII nachgebaute QR-Codes umgehen die Sicherheitsmaßnahmen optischer Texterkennung.

12 Stunden ago

Malware-Ranking: Androxgh0st-Botnet breitet sich in Deutschland aus

Die seit April aktive Malware schafft es im Mai bereits auf Platz 2. Lockbit erholt…

19 Stunden ago

Monatlicher Patchday: Microsoft stopft im Juni 49 Sicherheitslöcher

Eine kritische Schwachstelle steckt in allen unterstützten Versionen von Windows und Windows Server. Sie erlaubt…

1 Tag ago

Datengetriebene Geschäftsmodelle noch immer Mangelware

Ungeachtet dessen erwartet die Hälfte der deutschen Unternehmen eine Trendwende in den kommenden zwei Jahren.

2 Tagen ago

Analyse: Jeder fünfte Cyberangriff dauert länger als 30 Tage

Gleichzeitig glauben 40 Prozent der deutschen IT-Entscheider, dass ihre Teams Cybergefahren nicht richtig einschätzen können.

2 Tagen ago