Google schließt zwei Zero-Day-Lücken in Chrome

BrowserWorkspace
Chrome (Bild: Google)

Von ihnen geht ein hohes Sicherheitsrisiko aus. Eine Remotecodeausführung innerhalb der Sandbox ist möglich. Google stopft insgesamt acht Löcher in Chrome.

Nutzer des Google-Browsers Chrome sollten das aktuell verfügbare Update schnellstmöglich installieren. Die seit gestern Abend erhältliche Version 95.0.4638.69 beseitigt mehrere Sicherheitsanfälligkeiten. Darunter sind zwei Zero-Day-Lücken, die nach Angaben des Unternehmens bereits aktiv von Hackern ausgenutzt werden.

Entdeckt wurden die fraglichen Schwachstellen von Google-Mitarbeitern. Von beiden Bugs geht ein hohes Risiko aus. Angreifer sollten also in der Lage sein, Schadcode aus der Ferne einzuschleusen und in der Sandbox des Browsers auszuführen.

Die erste Zero-Day-Lücke beruht laut Google auf einer unzureichenden Prüfung von nicht vertrauenswürdigen Eingaben in die Komponente Intents. Außerdem liegt ein Exploit für einen Bug in der JavaScript-Engine V8 vor. Hier spricht Google lediglich von einer “ungeeigneten” Implementierung. Laut Bleeping Computer hat Google nun in diesem Jahr bereits 15 Zero-Day-Lücken in Chrome gepatcht.

Insgesamt bringt das Update Fixes für acht Sicherheitslöcher. Auch bei den anderen Fehlern geht Google von einem hohen Risiko für Nutzer aus. Sie stecken unter anderem in den Komponenten Sign-in, Garbage Collection, Seite Neuer Tab, V8 und Web Transport.

Den Entdeckern der Schwachstellen zahlt Google Prämien in Höhe von 18.500 Dollar. Allerdings werden keine Belohnungen an eigene Mitarbeiter ausgeschüttet, was auf vier Anfälligkeiten zutrifft.

Die Patches stehen für Windows, Linux und macOS zur Verfügung. Sie werden schrittweise über die Update-Funktion des Browsers ausgeliefert. Zum Abschluss der Installation der neuen Version sollte Chrome neu gestartet werden. Ob die neue Version bereits installiert wurde zeigt der Punkt “Über Google Chrome” im Hilfe-Menü des Browsers an.

Lesen Sie auch :