Informationssicherheit

Zeroday-Sicherheitslücke in Google Chrome

Jetzt updaten! Erneut Zeroday-Lücke in Google Chrome, Exploit verfügbar

Google veröffentlicht erneut ein Notfall-Update für den Webbrowser Chrome. Es gibt schon einen Exploit für die Zero-Day-Lücke.

Erst am vergangenen Freitag hatte Google ein Notfall-Update für den Webbrowser Chrome veröffentlicht, da ein Exploit für eine bis dahin unbekannte Schwachstelle kursierte. In der Nacht zum Dienstag ist nun noch mal dasselbe passiert: Google veröffentlicht ein Notfall-Update, um eine Sicherheitslücke in Chrome zu schließen, für die ein Exploit in freier Wildbahn entdeckt wurde.

In der Versionsankündigung schreiben Googles Entwickler, dass die Schwachstelle darin besteht, dass Angreifer potenzielle Schreibzugriffe außerhalb der vorgesehenen Speichergrenzen in der Javascript-Engine V8 provozieren können (CVE-2024-4761, noch kein CVSS-Wert, Risiko laut Google "hoch"). Weitere Details nennt Google nicht, sondern gibt lediglich den Hinweis: "Google hat Kenntnis davon, dass ein Exploit für CVE-2024-4761 in freier Wildbahn existiert".

Offenbar ausnutzbare Sicherheitslücke

Zwar nennt Google keine näheren Informationen, jedoch lassen sich solche Lücken oftmals zum Einschleusen und Ausführen von Schadcode missbrauchen. Dazu genügt meist das Anzeigen einer sorgsam präparierten Webseite. Aufgrund der Dringlichkeit, die Google offenbar sieht, lässt sich ableiten, dass dies hier der Fall ist.

Die Sicherheitslücke schließen die nun verfügbaren Chrome-Versionen 124.0.6367.179 für Android, 124.0.6367.207 für Linux (zugleich auch der neue Stand für die Extended Stable-Releases) sowie 124.0.6367.207/.208 für macOS und Windows.

Alles up to date?

Ob der Webbrowser bereits auf dem aktuellen Stand ist, verrät der Versionsdialog. Der öffnet sich nach Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adresszeile des Browsers befindet, und den weiteren Weg über "Hilfe" – "Über Google Chrome".

Fehlt die Aktualisierung noch, startet das den Update-Prozess. Unter Linux müssen Nutzer dafür in der Regel die Software-Verwaltung der eingesetzten Distribution starten und nach Aktualisierungen suchen lassen. Auf Mobilgeräten ist im jeweiligen App-Store eine Suche nach Updates möglich. Da die Schwachstelle im Chromium-Browser gefunden wurde, sind auch andere darauf basierende Webbrowser wie Microsofts Edge betroffen. Sofern dafür Aktualisierungen bereitstehen, sollten Nutzerinnen und Nutzer sie zügig installieren.

Am vergangenen Freitag hatte Google bereits eine Zero-Day-Lücke in Chrome geschlossen. Sie betraf die Visuals-Komponente des Browsers und erreichte als Risikoeinschätzung "hoch".

Gefunden auf https://www.heise.de/news/Jetzt-updaten-Erneut-Zeroday-Luecke-in-Google-Chrome-Exploit-verfuegbar-9716922.html