In dieser Woche hat Google ein neues Update für seinen Browser Chrome herausgegeben. Die neuen Versionen 108.0.5359.124/125 für Windows und 108.0.5359.124 für macOS und Linux vom 13. Dezember beseitigen acht Sicherheitslücken. Brave Browser und Vivaldi sind bereits auf dem neuesten Stand, die Hersteller anderer Chromium-basierter Browser sind noch nicht so weit (siehe Update weiter unten).
Im Chrome Release Blog führt Srinivas Sista diejenigen fünf der insgesamt acht gestopften Lücken auf, die externe Sicherheitsforscher entdeckt und an Google gemeldet haben. Google stuft diese fünf Schwachstellen als hohes Risiko ein. Es handelt sich in allen Fällen um Use-after-free-Lücken in verschiedenen Browser-Komponenten. Angreifer können dabei auf bereits freigegebene Speicherbereiche zugreifen und ihren Code dort unterbringen, sodass er ausgeführt werden könnte.
▶Die neuesten Sicherheits-Updates
In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem ≡ Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen.
Auch Chrome für Android 108.0.5359.128 sowie Chrome für iOS 108.0.5359.112 sind erhältlich. Am 10. Januar 2023 will Google Chrome 109 veröffentlichen.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, mit Updates nachzuziehen. Brave ist bislang der einzige Hersteller, der seinen Browser bereits aktualisiert hat. Brave hat am 14. Dezember ein Sicherheits-Update auf Version 1.146.144 bereitgestellt, das auf Chromium 108.0.5359.128 setzt.
Microsoft hat seinen Browser Edge noch nicht auf den neuesten Stand gebracht. In Edge 108.0.1462.46 steckt noch Chromium 108.0.5359.94. Damit ist zumindest die 0-Day-Lücke CVE-2022-4262 vom 2. Dezember gestopft.
Update 16.12.: Vivaldi hat 15. Dezember ein Update auf die Version 5.6.2867.46 bereitgestellt, die auf Chromium 108.0.5359.129 basiert. Damit sind alle bisher bekannten Sicherheitslücken gestopft. Opera hat am selben Tag den Wechsel auf Chromium 108 vollzogen. Die neueste Opera-Version 94.0.4606.26 nutzt jedoch noch Chromium 108.0.5359.99. Darin ist zwar die 0-Day-Lücke CVE-2022-4262 gestopft, doch die oben aufgeführten Schwachstellen bestehen weiter. Update Ende
Ursprüngliche Meldung vom 15.12.: Vivaldi ist mit der Version 5.6.2867.40, die auf Chromium 108.0.5359.105 basiert, auf einem ähnlichen Sicherheitsstand wie Edge. Opera hingegen hängt inzwischen weit zurück, hat den Wechsel auf Chromium 108 noch immer nicht vollzogen. In Opera 93.0.4585.70 werkelt noch immer die Chromium-Version 107.0.5304.122 aus dem November. Opera 94 auf Basis von Chromium 108 ist noch im Beta-Stadium.
Chromium-basierte Browser in der Übersicht:
Browser | Version | Chromium-Version | |
---|---|---|---|
Google Chrome | 108.0.5359.125 | 108.0.5359.125 | 🟢 |
Brave | 1.46.144 | 108.0.5359.128 | 🟢 |
Microsoft Edge | 108.0.1462.46 | 108.0.5359.94 | 🟠 |
Opera | 94.0.4606.26 | 108.0.5359.99 | 🟠 |
Vivaldi | 5.6.2867.46 | 108.0.5359.129 | 🟢 |