Nur drei Tage nach der Veröffentlichung von Chrome 105 hat Google ein weiteres Sicherheitsupdate für seinen Browser nachgeschoben. Die Version 105.0.5195.102 schließt eine Zero-Day-Lücke, für die bereits ein Exploit verteilt wird.
Den Versionshinweisen zufolge geht von der Schwachstelle mit der Kennung CVE-2022-3075 ein hohes Risiko aus. Ein Angreifer kann demnach unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Sandbox von Chrome ausführen. Die Schwachstelle wird durch eine unzureichende Prüfung von Eingaben in die Komponente Mojo ausgelöst. Dabei handelt es sich um eine Sammlung von Laufzeit-Bibliotheken, die eine Kommunikation zwischen Prozessen erlaubt.
Entdeckt wurde die Anfälligkeit laut Google von einem anonymen Sicherheitsforscher. Der meldete den Bug demnach am 30. August – also an dem Tag, an dem Chrome 105 zum Download freigegeben wurde. Ob der Fehler überhaupt erst mit Chrome 105 eingeführt wurde oder auch ältere Versionen des Browsers betrifft, ist nicht bekannt. Google hält jegliche Details zu der Sicherheitslücke zurück, um Nutzern ausreichend Zeit zu geben, auf eine fehlerbereinigte Version umzusteigen.
Auch alle anderen Chromium-basierten Browser angreifbar
Darüber hinaus gibt Google auch den Entwicklern anderer Browser, die ebenfalls die Codebasis von Chromium nutzen, die Möglichkeit, eigene Sicherheitspatches zu entwickeln und zu verteilen. So steht beispielsweise auch ein Update für Microsoft Edge 105 zum Download bereit, das die Zero-Day-Lücke schließen soll.
Google bietet Chrome 105.0.5195.102 für Windows, macOS und Linux an. Nutzer, die Chrome bereits installiert haben, erhalten das Update automatisch. Zum Abschluss der Installation ist unter Umständen ein Neustart des Browsers erforderlich. Auch der Extended Stable Channel von Chrome wurde aktualisiert.
Edge-Nutzer sollten auf die Version 105.0.1343.27 umsteigen, in der der Fix für die Zero-Day-Lücke enthalten ist. Im Extended Stable Channel von Edge gilt jetzt die Version 104.0.1293.81 als sicher.
Drei Bausteine bilden die Grundlage für eine KI-Governance: Dokumentation von KI-Projekten, Model Evaluation und Monitoring…
Eine Harmonisierung der Vorschriften für RIDP-Prozesse wird dazu beitragen, Angriffe künftig besser abwehren zu können,…
Die Übernahme der Metaal Kennis Groep soll den Zugang zur Metallindustrie verbessern. Im Fokus stehen…
EY hat Mitarbeitende in neun europäischen Ländern dazu befragt, wie stark KI ihren Arbeitsalltag verändert.
Kann die Privatwirtschaft mit DePINs – dezentralen, physischen Infrastrukturnetzwerken – erreichen, was Gaia-X bislang vergeblich…
Analyse zur Anfälligkeit von MFA auf Basis von 15.000 Push-basierten Angriffen. Größte Schwachstelle ist die…