2580492

Chrome-Update stopft zwei 0-Day-Lücken

14.04.2021 | 09:28 Uhr | Frank Ziemann

Google hat ein weiteres Sicherheits-Update für Chrome 89 bereitgestellt. Darin haben die Google-Entwickler zwei Schwachstellen beseitigt, die bereits ausgenutzt werden.

In der neuen Browser-Version Chrome 89.0.4389.128 für Windows, macOS und Linux vom 13. April hat der Hersteller zwei Sicherheitslücken geschlossen. Im Chrome Release Blog führt Prudhvikumar Bommana beide Schwachstellen auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Beide sind als hohes Risiko ausgewiesen. Laut Bommana sind Google Berichte bekannt, wonach die beiden Lücken bereits in freier Wildbahn gesichtet worden sind.

Die erste Schwachstelle (CVE-2021-21206) ist eine Use-after-free-Lücke (UAF) in Blink, dem HTML-Renderer. Sie ist durch einen auf eigenen Wunsch nicht genannten Forscher entdeckt und Mitte letzter Woche an Google gemeldet worden. Wie hoch die Prämie ausfällt, ist noch offen.

Suchmaschine Duckduckgo warnt vor Chrome-Browser


Für die zweite Lücke (CVE-2021-21220) in der Javascript-Engine V8 gibt es keine ausgewiesene Prämie. Doch die Entdecker Bruno Keith und Niklas Baumstark gehen keineswegs leer aus. Sie haben den Bug in der letzten Woche beim alljährlichen Hacker-Wettbewerb Pwn2Own vorgeführt. Dabei haben sie sowohl Chrome als auch Edge ausgetrickst, was ihnen 100.000 US-Dollar Preisgeld eingebracht hat.

Die neuesten Sicherheits-Updates

Eigentlich hatte Google geplant, am 13. April Chrome 90 zu veröffentlichen. Doch statt die beiden oben genannten 0-Day-Lücken wie erst kürzlich schon einmal mit einer neuen Hauptversion zu schließen, haben sich die Verantwortlichen diesmal für ein Interims-Update entschieden. Das ist eine kluge Entscheidung, denn den anderen Herstellern Chromium-basierter Browser dürfte es so deutlich leichter fallen, mit einem schnellen Update nachzuziehen. Für neue Hauptversionen haben zumindest Vivaldi und Opera eigene Terminplanungen, die in der jüngeren Vergangenheit zu erheblichen Verzögerungen beim Stopfen kritischer Lücken geführt haben. Ob der Plan aufgeht, wird sich zeigen müssen.

Browser

Version

Chromium-Version

Google Chrome

89.0.4389.128

89.0.4389.128 🟢

Microsoft Edge

89.0.774.76

89.0.4389.114 🟠

Brave

1.22.71

89.0.4389.114 🟠

Vivaldi

3.7.2218.52

89.0.4389.116 🟠

Opera

75.0.3969.171

89.0.4389.114 🟠

Chromium-basierte Browser – Stand: 13.04.2021

Einen neuen Starttermin für Chrome 90 (Desktop) hat Google bislang noch nicht bekannt gegeben. Chrome 90.0.4430.66 für Android steht jedenfalls wie vorgesehen schon bereit. Chrome 91 soll nach bisheriger Planung am 25. Mai erscheinen.


PC-WELT Marktplatz

2580492