Google hat ein Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Es stopft insgesamt drei Löcher, von denen nach Unternehmensangaben ein hohes Risiko ausgeht. Mindestens eine Anfälligkeit erlaubt jedoch das Einschleusen und Ausführen von Schadcode.
Die Schwachstelle mit der Kennung CVE-2024-3159 beschreibt Google als Out-of-Bounds-Speicherzugriff. Der Fehler steckt in der JavaScript-Engine V8. Entdeckt wurde der Bug von zwei Mitarbeiter von Palo Alto Networks.
Details der Schwachstelle zeigten die Forscher Ende März beim Hackerwettbewerb Pwn2Own. Laut Zero Day Initiative, Veranstalter des Wettbewerbs, kombinierten sie die Sicherheitslücke mit einer neuen Technik, um Sicherheitsmaßnahmen von V8 zu umgehen. So waren sie in der Lage, mit dem in Chrome eingeschleusten Code die Windows-App Notepad zu starten. Ihre Präsentation brachte ihnen 42,500 Dollar ein.
Darüber hinaus beseitigt Google eine fehlerhafte Implementierung in V8 und einen Use-after-free-Bug in Bookmarks. Die Entdecker dieser beiden Schwachstellten belohnt Google mit insgesamt 10.000 Dollar.
Nutzer sollten möglichst zeitnah das Update auf Chrome 123.0.6312.105/.106/.107 für Windows und macOS beziehungsweise 123.0.6312.105 für Linux einspielen. Das gilt vor allem, falls Chrome noch nicht auf die Version 123.0.6312.86/.87 aktualisiert wurde. Microsoft zufolge enthält dieses Update nämlich einen Fix für eine Zero-Day-Lücke, die Microsoft in einem aktuellen Update für seinen Browser Edge einräumt – und die Google in seinen Versionshinweisen nicht erwähnt.
Über den Punkt „Über Google Chrome“ im Hilfemenü der Einstellungen lässt sich überprüfen, welche Version von Chrome installiert ist. Zudem wird darüber eine manuelle Aktualisierung, falls verfügbar, angestoßen.
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…