Categories: BrowserWorkspace

Google schließt erneut schwerwiegende Sicherheitslücken in Chrome

Nutzer des Google-Browsers Chrome sollten kurzfristig das aktuell verfügbare Sicherheitsupdate installieren. Die neue Version 107.0.5304.110 für macOS und Linux sowie 107.0.5304.106/.107 für Windows beseitigt zehn Schwachstellen. Darunter sind mindestens sechs Anfälligkeiten, von denen laut Google ein hohes Sicherheitsrisiko ausgeht.

Unter anderem haben die Entwickler mit der neuen Version vier Use-after-Free-Bugs korrigiert. Sie stecken in der JavaScript-Engine V8, der Spracherkennung sowie den Komponenten Web Workers und WebCodecs. Ein Angreifer kann unter Umständen einen Absturz des Browsers auslösen oder gar Schadcode einschleusen und ausführen.

Gleiches gilt für einen Heap-Puffer-Überlauf in Crashpad. Diese Schwachstelle lässt sich wahrscheinlich ausnutzen, indem ein Opfer dazu verleitet wird, eine spezielle gestaltete HTML-Seite zu öffnen. Ein Type Confusion Bug macht die JavaScript-Engine V8 zudem anfällig für Eingaben mit falschem Code, die dann einen Speicherfehler auslösen können.

Eine Einschätzung zum Schweregrad liefert in der Regel auch die Sicherheitsprämie, die Google dem jeweiligen Entdecker einer Sicherheitslücke zahlt. Für den Use-after-free-Bug in V8 schüttet Google 21.000 Dollar an einen Forscher aus, der sich gzobqqq@ nennt. Insgesamt zahlt Google für vier der zehn Anfälligkeiten Belohnungen in Höhe von 45.000 Dollar – für zwei weitere Bugs wurde die Höhe der Prämie noch nicht festgelegt.

Google verteilt das Update für Chrome für Windows, macOS und Linux automatisch – oftmals muss der Browser allerdings neu gestartet werden, um die Installation der Patches abzuschließen.

Chrome 107 hatte Golgle Ende Oktober freigegeben. Die neue Version brachte bereits 14 Fixes für Sicherheitslücken.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Paradies für Angreifer: überfällige Rechnungen und „Living-off-the-Land“

HP Wolf Security Threat Insights Report zeigt, wie Cyberkriminelle ihre Angriffsmethoden immer weiter diversifizieren, um…

7 Stunden ago

EU-Staaten segnen Regulierung von KI final ab

AI Act definiert Kennzeichnungspflicht für KI-Nutzer und Content-Ersteller bei Text, Bild und Ton.

1 Tag ago

eco zum AI Act: Damit das Gesetz Wirkung zeigen kann, ist einheitliche Auslegung unerlässlich

Aufbau von Aufsichtsbehörden auf nationaler und EU-Ebene muss jetzt zügig vorangetrieben werden.

1 Tag ago

Datenqualität entscheidet über KI-Nutzen

Hochwertige Daten liegen häufig unerkannt in Daten-Pools und warten darauf, mit ausgefeilten Datamanagement-Plattformen gehoben zu…

1 Tag ago

Gartner: Public-Cloud-Ausgaben steigen auf mehr als 675 Milliarden Dollar

Prognostiziertes jährliches Wachstum von mehr als 20 Prozent wird durch GenKI-fähige Anwendungen in großem Maßstab…

1 Tag ago

Podcast: Zero Trust zum Schutz von IT- und OT-Infrastruktur

"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…

5 Tagen ago