Categories: BrowserWorkspace

Google schließt schwerwiegende Sicherheitslücke in Chrome

Google hat ein Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Es stopft insgesamt drei Löcher, von denen nach Unternehmensangaben ein hohes Risiko ausgeht. Mindestens eine Anfälligkeit erlaubt jedoch das Einschleusen und Ausführen von Schadcode.

Die Schwachstelle mit der Kennung CVE-2024-3159 beschreibt Google als Out-of-Bounds-Speicherzugriff. Der Fehler steckt in der JavaScript-Engine V8. Entdeckt wurde der Bug von zwei Mitarbeiter von Palo Alto Networks.

Details der Schwachstelle zeigten die Forscher Ende März beim Hackerwettbewerb Pwn2Own. Laut Zero Day Initiative, Veranstalter des Wettbewerbs, kombinierten sie die Sicherheitslücke mit einer neuen Technik, um Sicherheitsmaßnahmen von V8 zu umgehen. So waren sie in der Lage, mit dem in Chrome eingeschleusten Code die Windows-App Notepad zu starten. Ihre Präsentation brachte ihnen 42,500 Dollar ein.

Darüber hinaus beseitigt Google eine fehlerhafte Implementierung in V8 und einen Use-after-free-Bug in Bookmarks. Die Entdecker dieser beiden Schwachstellten belohnt Google mit insgesamt 10.000 Dollar.

Nutzer sollten möglichst zeitnah das Update auf Chrome 123.0.6312.105/.106/.107 für Windows und macOS beziehungsweise 123.0.6312.105 für Linux einspielen. Das gilt vor allem, falls Chrome noch nicht auf die Version 123.0.6312.86/.87 aktualisiert wurde. Microsoft zufolge enthält dieses Update nämlich einen Fix für eine Zero-Day-Lücke, die Microsoft in einem aktuellen Update für seinen Browser Edge einräumt – und die Google in seinen Versionshinweisen nicht erwähnt.

Über den Punkt „Über Google Chrome“ im Hilfemenü der Einstellungen lässt sich überprüfen, welche Version von Chrome installiert ist. Zudem wird darüber eine manuelle Aktualisierung, falls verfügbar, angestoßen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Digitale Matching-Plattform für Unternehmen und IT-Freelancer

Damit IT-Freelancer und Unternehmen einfacher zueinander finden, hat der Personaldienstleister Hays die Matching-Plattform "Tribeworks" gelauncht.

18 Stunden ago

Mit ChatGPT und Dall-E richtig starten

Kostenloses Webinar der Online-Marketing-Academy am 18.7. zum Einstieg in KI-Tools.

18 Stunden ago

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

19 Stunden ago

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

3 Tagen ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

3 Tagen ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

3 Tagen ago