2668991

Google stopft neue 0-Day-Lücke in Chrome

05.07.2022 | 09:11 Uhr | Frank Ziemann

Google hat ein Sicherheits-Update für seinen Browser Chrome bereitgestellt. Die Entwickler haben vier Sicherheitslücken im Browser geschlossen, von denen eine bereits ausgenutzt wird.

Trotz des Nationalfeiertags in den USA hat Google mit Chrome 103.0.5060.114 für Windows ein wichtiges Sicherheits-Update für Chrome veröffentlicht. Im Chrome Release Blog führt Prudhvikumar Bommana diejenigen drei der insgesamt vier beseitigten Sicherheitslücken auf, die durch externe Forscher entdeckt und an Google gemeldet wurden. Darunter ist eine 0-Day-Lücke, die auch Chrome für Android betrifft.

Am 1. Juli hat ein Sicherheitsforscher aus dem Avast Threat Intelligence Team eine Schwachstelle in Chrome/Chromium an Google gemeldet. Die Lücke mit der Kennung CVE-2022-2294 ist ein Pufferüberlauf in WebRTC und wird offenbar bereits für Angriffe ausgenutzt. Google stuft die Lücke unabhängig davon als hohes Risiko ein, ebenso die beiden anderen durch Externe gemeldeten Sicherheitslücken (CVE-2022-2295, -2296). Hierbei handelt es sich um eine Typverwechslung in der Javascript-Engine V8 sowie eine Use-after-free-Lücke in der Chrome OS Shell. Details zu der intern gefundenen Sicherheitslücke hat Google wie immer nicht veröffentlicht. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist.

Drei der vier genannten Schwachstellen, darunter CVE-2022-2294, betreffen auch Chrome für Android. Ein Update auf die Version 103.0.5060.71 schließt diese Lücken und ist bereits verfügbar.

▶Die neuesten Sicherheits-Updates

Andere Chromium-basierte Browser


Die Hersteller anderer Chromium-basierter Browser sind nun wieder gefordert, möglichst schnell mit entsprechenden Updates nachzuziehen. Microsoft Edge 103.0.1264.44 basiert noch auf Chromium 103.0.5060.53 vom 21. Juni. Brave 1.40.109 enthält die etwas neuere Chromium-Version 103.0.5060.66.

In Vivaldi 5.3.2679.61 steckt noch Chromium 102.0.5005.136, das jedoch Sicherheits-Updates aus Version 103.0.5060.53 enthält. Vivaldi 5.4 wird auf Chromium 104 basieren und demzufolge erst im August erscheinen.Der Hersteller dürfte jedoch in Kürze ein Sicherheits-Update für Vivaldi 5.3 bereitstellen, das auf Chromium 102.0.5005.148 (oder neuer) aus dem Extended Stable Channel setzt. Darin ist zumindest die 0-Day-Lücke CVE-2022-2294 geschlossen.

Die aktuelle Opera -Version 88.0.4412.53 basiert hingegen noch auf Chromium 102.0.5005.115 vom 14. Juni. Opera 89 auf Basis von Chromium 103 ist noch im Beta-Stadium. Opera ist also bereits wieder zwei Sicherheits-Updates im Rückstand.

Am 2. August will Google Chrome 104 veröffentlichen.

Chromium-basierte Browser in der Übersicht:

Browser

Version

Chromium-Version

Google Chrome

103.0.5060.114

103.0.5060.114 🟢

Brave

1.40.109

103.0.5060.66   🟠

Microsoft Edge

103.0.1264.44

103.0.5060.53   🟠

Opera

88.0.4412.53

102.0.5005.115 🔴

Vivaldi

5.3.2679.61

102.0.5005.136 🟠

Chromium-basierte Browser – Stand: 04.07.2022

PC-WELT Marktplatz

2668991