Am 29. November hat Google seinen Browser Chrome in der neuen Hauptversion 108 (108.0.5359.71/72) freigegeben. Bereits drei Tage später folgt das erste Notfall-Update, um eine neue 0-Day-Lücke zu schließen. Google zahlt damit den Preis des Erfolgs – Chrome ist weltweit der beliebteste Browser und damit auch das Hauptziel aller, die über Browser-Lücken in Rechner eindringen wollen. Bereits bei Chrome 107 lief es ganz ähnlich: Der Erstveröffentlichung der neuen Hauptversion 107 folgte bereits zwei Tage darauf das erste Notfall-Update.
Das Update auf Chrome 108.0.5359.94/95 für Windows und 108.0.5359.94 für macOS und Linux vom 2. Dezember beseitigt eine Schwachstelle, die Srinivas Sista im Chrome Release Blog mit der Kennung CVE-2022-4262 aufführt. Entdeckt hat sie ein Sicherheitsforscher aus Googles Threat Analysis Group (TAG) am 29. November, also an dem Tag der Veröffentlichung von Chrome 108.
Google stuft diese Schwachstelle als hohes Risiko ein. Es handelt sich mal wieder um eine Typverwechslung in der Javascript-Engine V8. Angaben dazu, welchen Umfang die Angriffe auf Chrome-Nutzer haben, macht Google nicht. Srinivas Sista schreibt lediglich, man wisse, dass Exploit-Code für CVE-2022-4262 im Umlauf sei.
▶Die neuesten Sicherheits-Updates
In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem ≡ Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Am 10. Januar 2023 will Google Chrome 109 veröffentlichen.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, mit Updates nachzuziehen. Brave ist bislang der einzige Hersteller neben Google, der seinen Browser bereits auf Chromium 108 umgestellt hat. Brave hat am 3. Dezember ein Sicherheits-Update auf Version 1.146.134 bereitgestellt, mit dem die aktuelle 0-Day-Lücke CVE-2022-4262 geschlossen wird.
Vivaldi hat am gleichen Tag ebenfalls ein Update gegen CVE-2022-4262 herausgebracht. In Vivaldi 5.5.2805.50 steckt allerdings noch immer Chromium 106.0.5249.203. Die Entwickler haben jedoch den Fix für die Schwachstelle auf diese inzwischen veraltete Chromium-Version zurück portiert. In der aktuellen Vivaldi-Version dürften jedoch noch einige der Schwachstellen stecken, die Google mit Chrome 108.0.5359.71 behoben hat. Vivaldi 5.6 auf Chromium-108-Basis ist noch im Teststadium, könnte jedoch im Laufe dieser Woche erscheinen.
Microsoft hat bei seinem Browser Edge den Wechsel auf Chromium 108 noch nicht vollzogen. In Edge 107.0.1418.62 hat Microsoft immerhin die vorherige 0-Day-Lücke CVE-2022-4135 vom 25. November beseitigt. Ein neues Update ist zumindest angekündigt und könnte bereits am heutigen Montagabend erscheinen.
Auch Opera hängt noch etwas zurück, hat mit dem Update auf Opera 93.0.4585.37 vom 1. Dezember immerhin die 0-Day-Lücke CVE-2022-4135 vom 25. November gestopft. Opera 94 auf Basis von Chromium 108 ist noch im Beta-Stadium.
Chromium-basierte Browser in der Übersicht:
| Browser | Version | Chromium-Version | |
|---|---|---|---|
| Google Chrome | 108.0.5359.95 | 108.0.5359.95 | 🟢 |
| Brave | 1.46.134 | 107.0.5304.141 | 🟢 |
| Microsoft Edge | 107.0.1418.62 | 107.0.5304.150 | 🔴 |
| Opera | 93.0.4585.37 | 107.0.5304.122 | 🔴 |
| Vivaldi | 5.5.2805.50 | 106.0.5249.203 | 🟠 |
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.