Categories: BrowserWorkspace

Google schließt neunte Zero-Day-Lücke in Chrome in diesem Jahr

Google hat nur drei Tage nach der Veröffentlichung von Chrome 108 einen außerplanmäßigen Notfallpatch für seinen Browser zum Download freigegeben. Das Update schließt eine Zero-Day-Lücke, die laut den Versionshinweisen bereits aktiv für Angriffe ausgenutzt wird. Es ist bereits das neunte Mal in diesem Jahr, dass Google einen öffentlichen Exploit für eine ungepatchte Schwachstelle in Chrome reagieren muss.

Betroffen ist Chrome für Windows, macOS und Linux in der Version 108.0.5359.72 und früher. Auch Chrome für Android ist von der Zero-Day-Lücke betroffen, von der ein hohes Risiko ausgehen soll. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Sandbox des Browsers ausführen.

Out-of-bounds-Speicherzugriff

Der Fehler steckt in der JavaScript-Engine V8. Google beschreibt ihn als einen Type-Confusion-Bug. Dabei wird einer Ressource wie einem Zeiger, einem Objekt oder einer Variable ein bestimmter Typ zugewiesen, die Anwendung greift jedoch zu einem späteren Zeitpunkt unter Verwendung eines anderen, inkompatiblen Typs auf diese Ressource zu. Dadurch wird unter Umständen ein Out-of-bounds-Speicherzugriff ermöglicht.

Entdeckt wurde die Anfälligkeit von Clement Lecigne von Googles Threat Analysis Group am 29. November. Laut der Schwachstellen-Datenbank des US-NIST kann die Schwachstelle mithilfe einer speziell gestalteten HTML-Datei ausgenutzt werden. Ein Angreifer muss ein Opfer offenbar also lediglich dazu verleiten, auf einen Link zu klicken oder eine von ihm kontrollierte Website zu besuchen.

Automatische Update-Funktion von Chrome nutzen

Nutzer von Google Chrome sollten möglichst zeitnah auf die fehlerbereinigten Versionen 108.0.5359.94 für Mac und Linux sowie 108.0.5359.94/.95 für Windows umsteigen. Die Verteilung erfolgt wie immer über die automatische Update-Funktion des Browsers. In der Regel muss Chrome neu gestartet werden, um die Aktualisierung abzuschließen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Traditionelle Sicherheit versus Zero Trust-Architektur

Zero Trust richtig eingesetzt, kann es Organisationen bei der Umsetzung ihrer Transformation unterstützen, sagt Nathan…

3 Stunden ago

Router-Update legt Microsofts Online-Dienste lahm

Eigentlich sollte nur eine IP-Adresse geändert werden. Ein dazu benutzter Befehl legt über einen Router…

13 Stunden ago

Valide Ergebnisse in zehn Sekunden statt zwei Monaten

Feuerwehr Düsseldorf greift für die strategische Standortplanung auf ein geodatenbasiertes Tool zu.

1 Tag ago

Nürburgring auf Digitalisierungskurs

Die "Grüne Hölle" soll mithilfe Künstlicher Intelligenz noch sicherer werden.

1 Tag ago

Führungskräfte brauchen ökologisches Händchen

Gartner: 70 Prozent der Führungskräfte in der Technologiebeschaffung müssen bis 2026 Leistungsziele erreichen, die auf…

1 Tag ago

Deutsche sind klar Letzte in punkto Datenschutz

Cisco Consumer Privacy Survey zeigt: 57 Prozent der Deutschen sehen sich nicht in der Lage,…

1 Tag ago