Categories: BrowserWorkspace

Google schließt kritische Sicherheitslücke in Chrome

Google hat seinen Browser Chrome auf die Version 97 aktualisiert. Das Update beseitigt 37 Sicherheitslücken, von denen eine sogar als kritisch eingestuft ist. Ein Angreifer kann unter Umständen Schadcode einschleusen und außerhalb der Sandbox des Browsers ausführen.

Die kritische Anfälligkeit steckt in der Komponente Storage. Laut Google handelt es sich um einen Use-after-free-Bug. Entdeckt wurde die Schwachstelle von einem externen Sicherheitsforscher, der dafür eine Belohnung in nicht genannter Höhe erhält.

Weitere Bugs, von denen ein hohes Sicherheitsrisiko ausgeht, betreffen die Komponenten DevTools, Screen Capture, Sign-in, Media Streams API, Lesezeichen, der JavaScript-Engine V8 und PDF. Den Entdeckern von 24 Schwachstellen zahlt Google insgesamt eine Prämie von 54.000 Dollar – allerdings wurden bei mehr als der Hälfte der Schwachstellen die Höhe der Belohnung noch nicht festgelegt wurde.

Ghacks weist zudem auf eine “kontroverse” Neuerung der Version 97 hin. Sie erweitertet die Unterstützung für eine neue Programmierschnittstelle namens Keyboard MAP. Sie erlaubt es nun auch innerhalb von iFrames, das Tastaturlayout des Nutzers zu erkennen und Tastatureingaben korrekt zuzuordnen – wichtig beispielsweise für in iFrames ausgeführte Webanwendungen.

Browseranbieter wie Mozilla, Apple und Brave kritisieren dem Blogeintrag zufolge jedoch, dass die Programmierschnittstelle in bestimmten Fällen ein Fingerprinting von Nutzern erlaubt, also die Verfolgung von Browseraktivitäten ohne Kenntnis und Zustimmung eines Nutzers. Selbst die Web Incubator Community Group, die die Spezifikationen der API erstellt, warnt vor möglichem Fingerprinting. Betroffen seien “Benutzer, die ungewöhnliche ASCII-Layouts verwenden (wie Dvorak oder Colemak), Benutzer, die ein ASCII-Layout verwenden, das nicht dem Standard für die Region entspricht, in der sie sich befinden.”

Chrome 97 steht ab sofort für Windows, macOS und Linux zur Verfügung. Nutzer, die den Browser bereits installiert haben, erhalten das Update automatisch. Zum Abschluss der Installation ist unter Umständen ein Neustart erforderlich.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

2 Tagen ago

Hacking-Event Pwn2Own: 25 Zero-Day-Schwachstellen aufgedeckt

Die Hunter nahmen Unternehmenssoftware ins Visier, um Schwachstellen in häufig genutzten Anwendungen ausfindig zu machen.

2 Tagen ago

Echte Security-KI für den OnPrem-Betrieb

Sie heißt LARA. Sie ist eine Security-KI, die sich auf die individuellen Anforderungen von Kunden…

2 Tagen ago

Schnelle Klicks mit schlimmen Folgen

Mit psychologischen Tricks verleiten Spear-Phishing-Angreifer ihre Opfer zu schnellen Klicks auf betrügerische Mails, warnt David…

3 Tagen ago

Lieferkettensorgfalts- pflichtengesetz setzt Unternehmen unter Zugzwang

Modebranche, Textilindustrie und Einzelhandel stehen unter Druck, die Vorgaben des Lieferkettensorgfaltspflichtengesetz (LkSG) ab Januar 2023…

3 Tagen ago

Mit DevOps die Produktivität und Qualität von Software-Releases erhöhen

Das DevOps-Konzept erfordert eine weitflächige Automatisierung, um die Prozesse der Softwareentwicklung zu verbessern, sagt Gastautorin…

4 Tagen ago