Categories: BrowserWorkspace

Google schließt kritische Sicherheitslücke in Chrome

Google hat seinen Browser Chrome auf die Version 97 aktualisiert. Das Update beseitigt 37 Sicherheitslücken, von denen eine sogar als kritisch eingestuft ist. Ein Angreifer kann unter Umständen Schadcode einschleusen und außerhalb der Sandbox des Browsers ausführen.

Die kritische Anfälligkeit steckt in der Komponente Storage. Laut Google handelt es sich um einen Use-after-free-Bug. Entdeckt wurde die Schwachstelle von einem externen Sicherheitsforscher, der dafür eine Belohnung in nicht genannter Höhe erhält.

Weitere Bugs, von denen ein hohes Sicherheitsrisiko ausgeht, betreffen die Komponenten DevTools, Screen Capture, Sign-in, Media Streams API, Lesezeichen, der JavaScript-Engine V8 und PDF. Den Entdeckern von 24 Schwachstellen zahlt Google insgesamt eine Prämie von 54.000 Dollar – allerdings wurden bei mehr als der Hälfte der Schwachstellen die Höhe der Belohnung noch nicht festgelegt wurde.

Ghacks weist zudem auf eine “kontroverse” Neuerung der Version 97 hin. Sie erweitertet die Unterstützung für eine neue Programmierschnittstelle namens Keyboard MAP. Sie erlaubt es nun auch innerhalb von iFrames, das Tastaturlayout des Nutzers zu erkennen und Tastatureingaben korrekt zuzuordnen – wichtig beispielsweise für in iFrames ausgeführte Webanwendungen.

Browseranbieter wie Mozilla, Apple und Brave kritisieren dem Blogeintrag zufolge jedoch, dass die Programmierschnittstelle in bestimmten Fällen ein Fingerprinting von Nutzern erlaubt, also die Verfolgung von Browseraktivitäten ohne Kenntnis und Zustimmung eines Nutzers. Selbst die Web Incubator Community Group, die die Spezifikationen der API erstellt, warnt vor möglichem Fingerprinting. Betroffen seien “Benutzer, die ungewöhnliche ASCII-Layouts verwenden (wie Dvorak oder Colemak), Benutzer, die ein ASCII-Layout verwenden, das nicht dem Standard für die Region entspricht, in der sie sich befinden.”

Chrome 97 steht ab sofort für Windows, macOS und Linux zur Verfügung. Nutzer, die den Browser bereits installiert haben, erhalten das Update automatisch. Zum Abschluss der Installation ist unter Umständen ein Neustart erforderlich.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Generative KI: Mangel an kompetenten Entwicklern und Know-how

Studie zeigt: Bei der Implementierung und Nutzung von generativer KI im industriellen Umfeld besteht noch…

15 Minuten ago

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

3 Tagen ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

3 Tagen ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

5 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

6 Tagen ago

Generative KI macht PDFs jetzt intelligenter

Bei langen und komplexen Dokumenten wie Verträgen, Forschungsarbeiten und Artikeln unterstützt generative KI dabei, in…

1 Woche ago