Soeben hat Google neue Versionen seines Webbrowsers Chrome veröffentlicht. Diese schließen eine Sicherheitslücke, für die schon Exploit-Code existiert.
Der Webbrowser Chrome ist jetzt in der stabilen Version 99.0.4844.84 für Linux, MacOS und Windows erschienen. Das Update enthält nur eine einzige Fehlerbehebung, mit der der Hersteller eine am Mittwoch der Woche anonym gemeldete Sicherheitslücke dicht macht. Für diese Lücke ist schon Exploit-Code im Netz aufgetaucht, bestätigt das Unternehmen.
In seinem Release-Blog listen die Google-Entwickler nur eine Schwachstelle auf, die die neue version beseitigt. Wie immer halten sie sich mit Details zum Schutz der Nutzer erst einmal zurück. Nur eine knappe Beschreibung bestätigt, dass es sich dabei um eine Type-Confusion-Schwachstelle handelt.
Bisher noch keine Details bekannt
In solchen Fällen prüft das Programm den Typ übergebener Daten nicht korrekt, was dann zu diversen Fehlern wegen fehlender Typumwandlung und unterschiedlich großen Datenstrukturen beispielsweise bei nachfolgenden Kopieroperationen führen kann. Hier sind etwa daraus resultierende Pufferüberläufe denkbar, die das Ausführen von eingeschleustem Schadcodes möglich machen.
Das Problem steckt in der Javascript-Engine
Die Sicherheitslücke steckt laut Googles Release-Blog-Beitrag in der JavaScript-Engine V8 von Chrome (CVE-2022-1096). Die Entwickler stufen das Risiko der Schwachstelle als hoch ein.
Die Details zur Lücke fehlen zwar noch, aber schon der Besuch einer bösartig manipulierten Webseite könnte wahrscheinlich ausreichen, um die Schwachstelle auszunutzen – und jede Webseite kann JavaScript einsetzen…
Chrome aktualisieren
Das Notfall-Update soll über die nächsten Tage und Wochen verteilt werden. Es ist aber zu empfehlen, sich oben rechts im Menü nach einem Klick auf das Dreipunkt-Menü unter „Hilfe“ und dann „Über Google Chrome“ zu prüfen, ob die fehlerbereinigte Version schonj installiert ist. Gegebenenfalls stößt das dann dann auch den Download und die Installation des Updates an.
Um die neue Version zu aktivieren, ist dann noch ein Browser-Neustart nötig.