Categories: BrowserWorkspace

Google schließt neunte Zero-Day-Lücke in Chrome in diesem Jahr

Google hat nur drei Tage nach der Veröffentlichung von Chrome 108 einen außerplanmäßigen Notfallpatch für seinen Browser zum Download freigegeben. Das Update schließt eine Zero-Day-Lücke, die laut den Versionshinweisen bereits aktiv für Angriffe ausgenutzt wird. Es ist bereits das neunte Mal in diesem Jahr, dass Google einen öffentlichen Exploit für eine ungepatchte Schwachstelle in Chrome reagieren muss.

Betroffen ist Chrome für Windows, macOS und Linux in der Version 108.0.5359.72 und früher. Auch Chrome für Android ist von der Zero-Day-Lücke betroffen, von der ein hohes Risiko ausgehen soll. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Sandbox des Browsers ausführen.

Out-of-bounds-Speicherzugriff

Der Fehler steckt in der JavaScript-Engine V8. Google beschreibt ihn als einen Type-Confusion-Bug. Dabei wird einer Ressource wie einem Zeiger, einem Objekt oder einer Variable ein bestimmter Typ zugewiesen, die Anwendung greift jedoch zu einem späteren Zeitpunkt unter Verwendung eines anderen, inkompatiblen Typs auf diese Ressource zu. Dadurch wird unter Umständen ein Out-of-bounds-Speicherzugriff ermöglicht.

Entdeckt wurde die Anfälligkeit von Clement Lecigne von Googles Threat Analysis Group am 29. November. Laut der Schwachstellen-Datenbank des US-NIST kann die Schwachstelle mithilfe einer speziell gestalteten HTML-Datei ausgenutzt werden. Ein Angreifer muss ein Opfer offenbar also lediglich dazu verleiten, auf einen Link zu klicken oder eine von ihm kontrollierte Website zu besuchen.

Automatische Update-Funktion von Chrome nutzen

Nutzer von Google Chrome sollten möglichst zeitnah auf die fehlerbereinigten Versionen 108.0.5359.94 für Mac und Linux sowie 108.0.5359.94/.95 für Windows umsteigen. Die Verteilung erfolgt wie immer über die automatische Update-Funktion des Browsers. In der Regel muss Chrome neu gestartet werden, um die Aktualisierung abzuschließen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Braucht der Mittelstand eine Sovereign Cloud?

"In der Regel nicht", sagt Oliver Queck von Skaylink im Interview.

9 Stunden ago

Lockbit wirklich endgültig zerschlagen?

Trotz des großen Erfolgs der Operation "Cronos" warnen Security-Experten vor zu frühen Feiern.

1 Tag ago

Umfrage: In diesen Branchen soll KI den Personalmangel lindern

Eine Mehrheit der Deutschen spricht sich für mehr KI in der Industrie und im Transportwesen…

1 Tag ago

Kaspersky: Jeder Fünfte von digitalem Stalking betroffen

42% der Nutzer:innen berichten von Gewalt oder Missbrauch durch eigenen Partner. 17% wurden bereits ohne…

1 Tag ago

Handwerker-Recruiting 2.0

Warum ChatGPT bei der Mitarbeitergewinnung den Unterschied machen kann, verrät Julian Jehn von Jehn &…

2 Tagen ago

NIS 2: “Zeitlich wird es knackig”

Es stellt sich nicht die Frage, ob Unternehmen NIS 2 noch schaffen, sondern eher wie,…

2 Tagen ago