2631386

Chrome jetzt updaten – Hacker attackieren den Browser

15.12.2021 | 12:23 Uhr | Frank Ziemann

Eine Woche nach dem ersten Sicherheits-Update für Chrome 96 hat Google ein zweites Update bereitgestellt. Darin haben die Entwickler auch eine 0-Day-Lücke geschlossen.

Vor einer Woche hat Google ein Update auf Chrome 96.0.4664.93 veröffentlicht, um (zunächst) 20 Sicherheitslücken zu schließen. Diese Zahl hat Google nachträglich auf 22 Lücken korrigiert. Am 13. Dezember hat Google ein weiteres Update auf Chrome 96.0.4664.110 bereitgestellt, um schwerwiegende Sicherheitslücken zu schließen, darunter eine, die bereits für Angriffe genutzt wird. Das ist die 17. 0-Day-Lücke in Chrome in diesem Jahr. Das ist wohl der Preis dafür, dass Chrome inzwischen der weltweit meistgenutzte Browser ist.

Chrome-Version prüfen und updaten

Um zu prüfen, welche Chrome-Version Sie nutzen und Updates anzustoßen (falls nicht automatisch gestartet), klicken Sie in Chrome oben rechts auf das Drei-Punkte-Menü und navigieren dann zu "Hilfe - Über Chrome". Nach einem Update müssen Sie den Browser neu starten.

Im Chrome Release Blog führt Srinivas Sista fünf behobene Schwachstellen (CVE-2021-4098 bis -4102) auf, die alle durch externe Forscher entdeckt und gemeldet worden sind. Als kritisch ist die Schwachstelle CVE-2021-4098 in Mojo eingestuft. Mojo ist der Name eines Kommunikationssystems zwischen verschiedenen Chrome-Prozessen.

Wichtiger als diese Lücke ist jedoch CVE-2021-4102, eine Use-after-free-Lücke in der Javascript-Engine V8. Die erst am 9. Dezember anonym gemeldete Schwachstelle gilt zwar nur als hohes Risiko, wird jedoch offenbar bereits ausgenutzt, um Chrome-Nutzer zu attackieren. Details dazu, wie diese 0-Day-Lücke genutzt wird und wie verbreitet die Angriffe sind, gehen aus dem Blog-Eintrag nicht hervor. Typischerweise wird mit Exploits für solche Schwachstellen Code eingeschleust und ausgeführt.

Die neuesten Sicherheits-Updates

Drei weitere Sicherheitslücken sind ebenfalls als hohes Risiko eingestuft. Dabei handelt es sich um eine Use-after-free-Lücke und einen Pufferüberlauf im 3D-Renderer Swiftshader sowie um eine Schwachstelle (CVE-2021-4100) in der Grafikbibliothek ANGLE (Almost Native Graphics Layer Engine) .

Nebenaspekt

Etwas widersprüchlich mutet an, dass Sergej Glasunow, der seit ein paar Jahren für Google Project Zero arbeitet, einerseits nach wie vor als externer Forscher zählt. Glasunow (englische Schreibweise: Glazunov) hat die oben erwähnte Mojo-Lücke entdeckt. Da Glasunow anderseits doch als Google-Mitarbeiter gilt, bekommt er für entdeckte Schwachstellen keine Prämien mehr. Noch vor wenigen Jahren konnte er allein von solchen Prämien gut leben. Daraufhin hat ihn Google angeworben. Wer davon mehr profitiert, ist nicht bekannt – vermutlich ist es eine Win-Win-Situation.

Am 4. Januar will Google Chrome 97 veröffentlichen.

PC-WELT Marktplatz

2631386