Categories: BrowserWorkspace

Chrome 106: Google schließt 20 Sicherheitslücken

Google hat die finale Version von Chrome 106 zum Download freigegeben. Das Update schließt 20 Sicherheitslücken. Von mindestens fünf Anfälligkeiten geht ein hohes Risiko aus. Angreifer können unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.

Besonders schwerwiegend sind vier Use-after-Free-Bugs in den Komponenten CSS, Survey und Media. Darüber hinaus prüfen die Entwickler-Tools nicht vertrauenswürdige Eingaben unzureichend – auch hierfür vergibt Google den Schweregrad Hoch.

Weitere acht Schwachstellen sind als “mittel” eingestuft. Unter anderem setzen Chrome 105 und früher eine Richtlinie für die Developer Tools nur unzureichend um. Es wurde aber auch ein Type Confusion Bug in der JavaScript-Engine Blink beseitigt. Zudem stecken auch in den Komponenten Assistant, Import und Logging Use-after-Free-Bugs.

Ein niedriges Risiko geht indes von einem Fehler in der Sicherheitsfunktion Safe Browsing aus, der ebenfalls zu einer unzureichend Prüfung von nicht vertrauenswürdigen Eingaben führt. Das gilt auch für einen Use-after-Free-Bug in den Benachrichtigungen von ChromeOS.

Google schüttet an die Sicherheitsforscher, die die jeweiligen Lücken gemeldet haben, Prämien in Höhe von 38.500 Dollar aus. Der Betrag verteilt sich auf insgesamt acht Forscher, mit Belohnungen zwischen 2000 und 9000 Dollar. Für acht weitere Schwachstellen muss Google die Höhe der Prämie noch festlegen.

Chrome 106 wird automatisch über die Update-Funktion des Google-Browsers verteilt. Gegebenenfalls muss der Browser neu gestartet werden, um die Installation des Updates abzuschließen. Unter macOS und Linux sollte anschließend die Version 106.0.5249.61 sowie unter Windows die Version 106.0.5249.61 oder 62 vorliegen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google schließt neunte Zero-Day-Lücke in Chrome in diesem Jahr

Der Google-Browser ist über eine manipulierte HTML-Datei angreifbar. Betroffen sind Chrome für Windows, macOS, Linux…

1 Stunde ago

Umfrage: Wie die Wirtschaft bis 2025 in digitale Technologie investiert

Top-3-Ziele für verstärkte Investitionen: Automatisierung von Prozessen, Künstliche Intelligenz und Cloud-Plattformen.

24 Stunden ago

KI in Deutschland noch halbherzig

Weltweit schätzen Firmen die Bedeutung von KI für ihre eigene Zukunftsfähigkeit signifikant höher ein als…

24 Stunden ago

Trends Folge 5: Cloud, Low-Code, Edge und Kubernetes

Cloud-Budgets kommen auf den Prüfstand und Lieferketten-Engpässe setzen Software-Anbieter unter Druck.

24 Stunden ago

Trends Folge 4: No-Code 2023

Leicht integrierbare Ende-zu-Ende No-Code-Tools, die zudem leicht Skalierbare sind werden 2023 eine wichtige Rolle spielen.

24 Stunden ago

Wipro führt erweitertes Beratungsangebot in Europa ein

Jüngste Akquisitionen im Beratungsbereich ermöglichen eine End-to-End-Cybersecurity-Lösung für Unternehmen.

3 Tagen ago