Categories: BrowserWorkspace

Google schließt neunte Zero-Day-Lücke in Chrome in diesem Jahr

Google hat nur drei Tage nach der Veröffentlichung von Chrome 108 einen außerplanmäßigen Notfallpatch für seinen Browser zum Download freigegeben. Das Update schließt eine Zero-Day-Lücke, die laut den Versionshinweisen bereits aktiv für Angriffe ausgenutzt wird. Es ist bereits das neunte Mal in diesem Jahr, dass Google einen öffentlichen Exploit für eine ungepatchte Schwachstelle in Chrome reagieren muss.

Betroffen ist Chrome für Windows, macOS und Linux in der Version 108.0.5359.72 und früher. Auch Chrome für Android ist von der Zero-Day-Lücke betroffen, von der ein hohes Risiko ausgehen soll. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Sandbox des Browsers ausführen.

Out-of-bounds-Speicherzugriff

Der Fehler steckt in der JavaScript-Engine V8. Google beschreibt ihn als einen Type-Confusion-Bug. Dabei wird einer Ressource wie einem Zeiger, einem Objekt oder einer Variable ein bestimmter Typ zugewiesen, die Anwendung greift jedoch zu einem späteren Zeitpunkt unter Verwendung eines anderen, inkompatiblen Typs auf diese Ressource zu. Dadurch wird unter Umständen ein Out-of-bounds-Speicherzugriff ermöglicht.

Entdeckt wurde die Anfälligkeit von Clement Lecigne von Googles Threat Analysis Group am 29. November. Laut der Schwachstellen-Datenbank des US-NIST kann die Schwachstelle mithilfe einer speziell gestalteten HTML-Datei ausgenutzt werden. Ein Angreifer muss ein Opfer offenbar also lediglich dazu verleiten, auf einen Link zu klicken oder eine von ihm kontrollierte Website zu besuchen.

Automatische Update-Funktion von Chrome nutzen

Nutzer von Google Chrome sollten möglichst zeitnah auf die fehlerbereinigten Versionen 108.0.5359.94 für Mac und Linux sowie 108.0.5359.94/.95 für Windows umsteigen. Die Verteilung erfolgt wie immer über die automatische Update-Funktion des Browsers. In der Regel muss Chrome neu gestartet werden, um die Aktualisierung abzuschließen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

„AI Defense“ von Cisco sichert KI-Transformation für Unternehmen

End-to-End-Lösung schützt sowohl die Entwicklung als auch den Einsatz von KI-Anwendungen.

12 Stunden ago

HYCU: Wachsende Herausforderungen für Backup, Recovery und Cyberresilienz durch KI

Daten-Trends 2025: Geschwindigkeit, mit der neue SaaS-Plattformen und Datenquellen geschützt werden können, muss drastisch erhöht…

12 Stunden ago

Von digitalen zu intelligenten Netzen: Breitband-Trends für 2025

Bandbreitenstarke Glasfasertechnologie bietet großes Potenzial für Homeoffice, Campusnetze sowie die industrielle Automatisierung.

1 Tag ago

Bleibt KI-Innovation im Zoll stecken?

Die Rückkehr Donald Trumps ins Weiße Haus könnte einen Wendepunkt in der globalen KI-Politik markieren,…

1 Tag ago

Was Tech-Absolventen von Arbeitgebern erwarten

Laut Studie interessieren sich viele Hochschulabgänger für die Arbeit mit disruptiven Technologien. Allen voran Quanten-Computing.

2 Tagen ago

Industrielle KI: Siemens beansprucht Führungsrolle

Auf der Technologiemesse CES zeigte das Unternehmen, wie Daten, KI und softwaredefinierte Automatisierung zusammenwachsen.

5 Tagen ago