Notfall-Update: Google stopft weitere 0-Day-Lücke in Chrome

Mit dem Update auf Chrome 112.0.5615.137/138 für Windows sowie 112.0.5615.137 für macOS und Linux hat Google am Abend des 18. April mehrere Sicherheitslücken in seinem Browser geschlossen. Darunter ist mit CVE-2023-2136 auch eine, die bereits für Angriffe ausgenutzt wird. Auch in Chrome für Android 112.0.5615.112.0.5615.135/136 ist die 0-Day-Lücke beseitigt. Dies ist das zweite Notfall-Update für Chrome 112 binnen weniger Tage. Erst am 14. April hatte Google eine 0-Day-Lücke in Chrome geschlossen. Die meisten Hersteller anderer Chromium-basierter Browser haben noch nicht reagiert – nur Vivaldi hat bereits ein Update veröffentlicht. Updates 20./21./24.4.↓

Im Chrome Release Blog führt Srinivas Sista diejenigen fünf der insgesamt acht gestopften Lücken auf, die externe Sicherheitsforscher entdeckt und an Google gemeldet haben. Google stuft vier dieser Schwachstellen als hohes Risiko ein, eine weitere als mittleres Risiko. Google weist die Schwachstelle CVE-2023-2136 als hohes Risiko aus. Es handelt sich um einen Ganzzahlüberlauf in der quelloffenen 2D-Grafikbibliothek Skia. Ein Forscher aus Googles Threat Analysis Group (TAG) hat die Lücke am 12. April entdeckt – einen Tag nach der ersten 0-Day-Lücke. Zu Art und Umfang der Angriffe, bei denen Exploit-Code für CVE-2023-2136 eingesetzt wird, macht Google keine Angaben.

▶Die neuesten Sicherheits-Updates

In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem ⋮ Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Am 26. April will Google Chrome 113 an die ersten Nutzer ausliefern, eine Woche darauf an alle Interessierten.

Andere Chromium-basierte Browser

Die meisten Hersteller anderer auf Chromium basierender Browser haben noch nicht reagiert. Nur Vivaldi hat mit dem Update auf die Version 6.0.2979.15, basierend auf Chromium 112.0.5615.141, die neue 0-Day-Lücke sowie die weiteren Schwachstellen beseitigt.

Microsoft Edge und Brave sind noch auf dem Stand vom 15. April (Chromium 112.0.5615.121), haben also nur die erste 0-Day-Lücke CVE-2023-2033 geschlossen.

Update 20.4.: Brave hat am 19. April ein Update auf die Version 1.50.121 bereitgestellt, die wie Chrome auf Chromium 112.0.5615.138 basiert und die bislang bekannten Sicherheitslücken schließt.
Update Ende

Update 21.4.: Microsoft hat Edge 112.0.1722.54 bereitgestellt, das auf Chromium 112.0.5615.137 basiert. Laut Microsoft gibt es diese abgesicherte Version jedoch nur für Linux, macOS und Android, nicht für Windows. Einen Grund dafür nennt Microsoft nicht. Ein Edge-Update für Windows dürfte bald folgen.
Update Ende

Update 24.4.: Microsoft hat inzwischen ein Update auf Edge 112.0.1722.58 veröffentlicht – auch für Windows.
Update Ende

Opera hat zwar in der Version 97.0.4719.83 vom 18. April einen Patch gegen CVE-2023-2033 in die Chromium-Version 111.0.5563.147 integriert. Es bleiben jedoch neben der neuen 0-Day-Lücke CVE-2023-2136 etliche Schwachstellen offen, die wohl erst mit Opera 98 (derzeit im Beta-Teststadium) und dem Wechsel auf Chromium 112 geschlossen werden.

Update 21.4.: Opera hat inzwischen die Browser-Version 98 freigegeben. Opera 98.0.4759.6 basiert allerdings noch auf Chromium 112.0.5615.87, was dem Stand der Erstveröffentlichung von Chrome 112 entspricht. Die Opera-Entwickler haben immerhin auch hier den Sicherheits-Patch gegen die erste 0-day-Lücke CVE-2023-2033 integriert. Die zweite 0-Day-Lücke CVE-2023-2136 ist jedoch noch nicht geschlossen.
Update Ende

Chromium-basierte Browser in der Übersicht: