2591647

Google schließt 0-Day-Lücke in Chrome

10.06.2021 | 09:14 Uhr | Frank Ziemann

Google hat das erste Sicherheits-Update für Chrome 91 veröffentlicht. Darin haben die Chrome-Entwickler auch eine 0-Day-Lücke geschlossen.

Google stellt die neue Browser-Version Chrome 91.0.4472.101 für Windows, macOS und Linux bereit. Im Chrome Release Blog führt Prudhvikumar Bommana diejenigen 10 der insgesamt 14 behobenen Schwachstellen auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Davon gilt eine als kritisch (CVE-2021-30544), sieben sind als hohes Risiko ausgewiesen und zwei weitere als mittleres Risiko eingestuft..

In kaum mehr als einer Fußnote weist Prudhvikumar Bommana darauf hin, dass Google über einen in freier Wildbahn kursierenden Exploit für die Schwachstelle CVE-2021-30551 informiert ist. Die Lücke ist als hohes Risiko eingestuft. Ob es Angriffe gibt, lässt er offen. Es handelt sich um eine Typverwechslung in der Javascript-Engine V8, es wurde also eine Variable falsch deklariert oder verwendet. Entdeckt hat dies einmal mehr Sergej Glasunow, der für Google Project Zero arbeitet, also hauptberuflich nach Sicherheitslücken sucht. Als Google-Mitarbeiter ist er inzwischen von der Prämienvergabe ausgeschlossen („$NA“ – not applicable).

Für die als kritisch eingestufte Schwachstelle CVE-2021-30544, eine Use-after-free-Lücke, erhalten ihre Entdecker hingegen 25.000 US-Dollar. Die als hohes Risiko ausgewiesene Schwachstelle CVE-2021-30545, ebenfalls eine Use-after-free-Lücke, bringt ihren Entdeckern 20.000 Dollar. Für die übrigen Lücken hat Google noch keine Prämien festgelegt („$TBD“ – to be determined). Dabei handelt es sich überwiegend um Use-after-free-Lücken in verschiedenen Browser-Komponenten. Über die die intern gefundenen Schwachstellen macht Google wie immer keine Angaben.

▶Die neuesten Sicherheits-Updates

Die Hersteller anderer Chromium-basierter Browser müssen nun wieder nachziehen. Zumindest bei Microsoft (Edge) und Brave dürfte dies erfahrungsgemäß noch in dieser Woche geschehen. Vivaldi hat wenige Stunden vor Googles Chrome-Update seinen Browser auf die neue Version 4.0 (4.0.2312.24) gehoben, die nun auf Chromium 91 basiert, allerdings noch auf dessen Version 91.0.4472.79. Opera hat praktisch zeitgleich den gleichen Schritt vollzogen. Die neue Opera-Version 77 (77.0.4054.60) basiert auf Chromium 91.0.4472.77. Wann Vivaldi und Opera die Sicherheitslücken schließen, die mit dem gestrigen Chrome-Update offenbar geworden sind, bleibt abzuwarten.

Chrome 91.0.4472.101 für Android steht ebenfalls bereit. Google will am 20. Juli Chrome 92 veröffentlichen.

Browser

Version

Chromium-Version

Google Chrome

91.0.4472.101

91.0.4472.101 🟢

Microsoft Edge

91.0.864.41

91.0.4472.77  🟠

Brave

1.25.70

91.0.4472.77  🟠

Vivaldi

4.0.2312.24

91.0.4472.79  🟠

Opera

77.0.4054.60

91.0.4472.77  🟠

Chromium-basierte Browser – Stand: 09.06.2021

 

PC-WELT Marktplatz

2591647