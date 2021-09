Frank Ziemann

Google hat außer der Reihe ein wichiges Sicherheits-Update für Chrome bereitgestellt. Darin ist eine Schwachstelle beseitigt, die wohl bereits für Angriffe genutzt wird.

Nur drei Tage nach der Veröffentlichung der ersten finalen Browser-Version Chrome 9 4 hat Google eilig ein Update auf die Chrome-Version 94.0.4606.61 für Windows, macOS und Linux nachgeschoben. Im Chrome Release Blog nennt Srinivas Sista nur ein behobene Schwachstelle. Sie ist als hohes Risiko ausgewiesen, Exploit-Code ist demnach im Umlauf. Das ist bereits die zwölfte 0-Day-Lücke in Chrome in diesem Jahr. Endeckt hat sie Clément Lecigne aus Googles Threat Analysis Group (TAG).



Bei CVE-2021-37973 handelt es sich um eine Use-after-free-Lücke in der Portals API (Programmierschnittstelle), die Web-Navigationszwecken dient. Diese API gehört zu Chromium, der quelloffenen Browser-Basis von Chrome, auf der auch andere Browser wie Brave, Edge, Opera und Vivaldi basieren.



Auch wenn Google wie üblich nur angibt, es sei Exploit-Code im Umlauf, sprechen die Umstände dafür, dass es tatsächlich Angriffe gibt, bei denen diese Lücke genutzt wird. Das Update war bereits am Abend des 23. September (Zeitzone PST, US-Pazifikküste) im Browser verfügbar. Jedoch ist erst am folgenden Morgen ein Blog-Eintrag dazu erschienen. Das Update herauszubringen, war offenbar eilig. Auch der Entdecker der Lücke ist ein Indiz, denn die Threat Analysis Group untersucht eher Angriffe als proaktiv nach Sicherheitslücken in Software zu fahnden. Dafür ist Google Project Zero zuständig, woher auch technische Unterstützung kam.



Die Hersteller anderer Chromium-basierter Browser sollten schnell nachziehen. Das hat bislang nur Microsoft hinbekommen, wenn auch mit kleinen Schönheitsfehlern in der Dokumentation. In der am 24. September bereitgestellten Edge-Version 94.0.992.31 ist die 0-Day-Lücke CVE-2021-37973 beseitigt. In Microsofts Sicherheitsbericht heißt es allerdings, diese Edge-Version basiere auf Chromium 94.0.4606.54. Das ist jedoch die eingangs erwähnte Chromium-Version vom 21. September, in der die Schwachstelle noch existiert. Die Browser-Kennung (User Agent), die Edge ausgibt, weist indes Chromium 94.0.4606.61 als Basis aus.



Brave, Opera und Vivaldi sind derzeit noch auf dem Stand von Chromium 93.0.4577.82/83 . Den Schritt zu Chromium 94 haben sie bislang erst in Entwickler- und Beta-Versionen vollzogen. Am 19. Oktober soll Chrome 95 erscheinen, am 16. November soll Chrome 96 folgen.



