Google Chrome: Vierte bereits missbrauchte Zero-Day-Lücke in zwei Wochen

Google schließt eine Zero-Day-Lücke im Chrome-Webbrowser, die bereits angegriffen wird. Die vierte in zwei Wochen.

Google muss im Chrome-Webbrowser erneut mit einem Notfall-Update außer der Reihe eine Zero-Day-Lücke abdichten. Dafür kursiert bereits ein Exploit in freier Wildbahn – das passiert zum vierten Mal in den vergangenen zwei Wochen. Wer Chromium-basierte Webbrowser einsetzt, sollte zügig prüfen, ob eine Aktualisierung bereitsteht und diese installieren.

In der Versionsankündigung schreiben die Chrome-Entwickler, dass die Sicherheitslücke durch eine "Type Confusion" in der Javascript-Engine V8 aufgerissen wird. Dabei passen tatsächlich genutzte Datentypen nicht zu den im Programmcode vorgesehenen, was in Zugriffe auf nicht dafür vorgesehene Speicherbereiche und in manchem Fall die Ausführung von untergeschobenem Schadcode münden kann. Der CVE-Eintrag ist noch nicht veröffentlicht, jedoch lässt sich diese Schwachstelle wahrscheinlich durch das Anzeigen einer sorgsam präparierten Webseite missbrauchen (CVE-2024-5274, kein CVSS-Wert, Risiko laut Google "hoch").

Chrome-Zero-Day-Lücke bereits angegriffen

"Google ist bekannt, dass ein Exploit für CVE-2024-5274 in freier Wildbahn existiert", schreiben die Autoren in der Mitteilung. Da die Schwachstelle unter anderem von Clément Lecigne aus Googles Threat-Analysis-Gruppe (TAG) entdeckt wurde, deutet das auf bereits laufende Angriffe hin. Googles TAG untersucht in der Regel bereits erfolgte Attacken auf Sicherheitslücken.

Die aktuellen Versionen von Google Chrome, die den Fehler korrigieren, lauten 125.0.6422.112/.113 für Android, 125.0.6422.112 für Linux und 125.0.6422.112/.113 für macOS und Windows. Zudem ist die Extended Stable-Version mit der Nummer 124.0.6367.233 unter macOS und Windows auf dem neuesten Stand.

Versionsprüfung

Ob Chrome auf dem aktuellen Stand ist, verrät der Versionsdialog, der sich im Einstellungsmenü des Browsers hinter dem Symbol mit den drei übereinander gestapelten Punkten findet. Dort ist er unter "Hilfe" – "Über Google Chrome" aufrufbar. Der zeigt die aktuell laufende Software-Fassung an und startet bei Verfügbarkeit den Aktualisierungsprozess.

Unter Linux zeichnet in der Regel die Softwareverwaltung der eingesetzten Distribution für das Update des Chrome-Browsers verantwortlich. Die Lücke betrifft den Chromium-Browser, auf dem auch andere Webbrowser wie Microsofts Edge basieren. Für diese dürften daher in Kürze ebenfalls drängende Aktualisierungen bereitstehen, die Nutzerinnen und Nutzer zügig anwenden sollten.

In den vergangenen zwei Wochen hatte Google bereits drei weitere Zero-Day-Lücken im Chromium-Browser abdichten müssen. Sie wurden ebenfalls mit Exploits angegriffen.

 

Gefunden auf https://www.heise.de/news/Google-Chrome-Vierte-bereits-missbrauchte-Zero-Day-Luecke-in-zwei-Wochen-9730530.html