2654799

Chrome-Update stopft 0-Day-Lücke

16.04.2022 | 08:21 Uhr | Frank Ziemann

Google hat ein Notfall-Update für seinen Browser Chrome 100 bereitgestellt. Darin haben die Entwickler eine 0-Day-Lücke beseitigt.

Unmittelbar vor dem langen Osterwochende hat Google ein Notfall-Update für seinen Browser Chrome veröffentlicht. Damit schließt Google eine Sicherheitslücke in Chrome, die offenbar bereits für Angriffe ausgenutzt wird. Das Sicherheits-Update vom 14. April bringt Chrome auf die Version 100.0.4896.127 für Windows, macOS und Linux. Auch Chrome für Android ist betroffen.

Im Chrome Release Blog führt PrudhviKumar Bommana die Sicherheitslücke unter der Kennung CVE-2022-1364 auf. Es handelt sich um eine Typverwechslung (Type Confusion) in der Javascript-Engine V8. Schwachstellen dieser Art sind in letzter Zeit mehrfach in V8 aufgetaucht. Werden eingelesene Daten einem falschen Variablentyp (etwa Ganzzahl statt Text) zugeordnet, kann im Grunde Vieles passieren. Wer eine solche Lücke gezielt ausnutzt, kann etwa Code einschleusen und ausführen. Der Fehler ist durch Clément Lecigne aus Googles Threat Analysis Group (TAG) entdeckt worden. Das spricht dafür, dass die Lücke tatsächlich bereits für Angriffe genutzt wird.

Details zu einer weiteren, intern gefundenen Schwachstelle hat Google wie immer nicht veröffentlicht. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist.

▶Die neuesten Sicherheits-Updates

Andere Chromium-basierte Browser

Update: Der folgende Abschnitt ist erneut aktualisiert worden, um Updates für Brave, Vivaldi und Edge einzupflegen.

Die Hersteller anderer Chromium-basierter Browser müssen nun wieder mit entsprechenden Updates nachziehen, sind jedoch zum Teil (Microsoft Edge, Opera) noch nicht einmal auf dem Stand des vorherigen Chrome-Updates.

Brave hat bereits reagiert und wenige Stunden nach Googles Notfall-Patch ein Update auf Version 1.37.116. bereitgestellt. Vivaldi hat am 15. April nachgezogen und ein Update auf die Version 5.2.2623.39 veröffentlicht. Darin steckt bereits Chromium 100.0.4896.133. Microsoft hat seinen Browser Edge inzwischen auf die neue Version 100.0.1185.44.aktualisiert, die auf Chromium 100.0.4896.127 basiert. Edge ist somit wieder auf den gleichen Sicherheitsstand wie Chrome, Brave und Vivaldi.

Opera hat den Wechsel auf Chromium 100 immer noch vor sich. In der aktuellen Opera-Version 85.0.4341.60 steckt noch Chromium 99.0.4844.84, was dem Sicherheitsstand der letzten Chrome-Ausgabe vor 100 (25. März) entspricht. Opera 86 (mit Chromium 100) ist noch immer im Beta-Stadium. Das bedeutet, Opera ist mittlerweile bereits vier Sicherheits-Updates und mehr als 40 Schwachstellen im Rückstand.

Chrome 100.0.4896.127 für Android ist ebenfalls bereits erhältlich. Am 26. April will Google Chrome 101 veröffentlichen.

Chromium-basierte Browser in der Übersicht:

Browser

Version

Chromium-Version

Google Chrome

100.0.4896.127

100.0.4896.127 🟢

Brave

1.37.116

100.0.4896.127 🟢

Microsoft Edge

100.0.1185.44

100.0.4896.127 🟢

Opera

85.0.4341.60

99.0.4844.84    🔴

Vivaldi

5.2.2623.39

100.0.4896.133 🟢

Chromium-basierte Browser – Stand: 15.04.2022

PC-WELT Marktplatz

2654799