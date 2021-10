Frank Ziemann

Google hat zum zweiten Mal in einer Woche ein Notfall-Update für Chrome bereitgestellt. Diesmal mussten die Entwickler sogar zwei 0-Day-Lücken beseitigen.

Vergrößern 0-Day-Lücken in Chrome

Es ist kaum eine Woche her, dass Google eine 0-Day-Lücke in seinem Browser Chrome stopfen musste. Nun folgt bereits das nächste Sicherheits-Update, das sogar zwei 0-Day-Lücken schließt. Damit steigt die Zahl der allein in diesem Jahr in Chrome beseitigten 0-Day-Lücken auf 14. Im Chrome Release Blog nennt Srinivas Sista vier behobene Schwachstellen, von denen drei durch externe Forscher entdeckt und gemeldet worden sind. Für zwei dieser Lücken ist demnach Exploit-Code im Umlauf.



Bei CVE-2021-37975 handelt es sich um eine Use-after-free-Lücke in der Javascript-Engine V8, deren Entdecker nicht genannt werden will. Google stuft die Schwachstelle als hohes Risiko ein. Nur als mittleres Risiko gilt die zweite 0-Day-Lücke, CVE-2021-37976, ein Datenleck im Browser-Kern. Sie ist wie schon CVE-2021-37973 aus der letzten Woche durch Clément Lecigne aus Googles TAG (Threat Analysis Group) entdeckt worden.



Hinzu kommt mit CVE-2021-37974 eine als hohes Risiko eingestufte Use-after-free-Lücke in Safe Browsing, Googles Web-Filter. Dafür erhält der Entdecker eine Prämie in Höhe von 20.000 US-Dollar. Die vierte Schwachstelle haben die Chrome-Entwickler wohl selbst gefunden und so gibt es dazu keine näheren Angaben.



▶Die neuesten Sicherheits-Updates



Die Hersteller anderer Chromium-basierter Browser kommen kaum noch hinterher. In Microsoft Edge Version 94.0.992.31 sowie in Brave 1.30.86 ist immerhin die 0-Day-Lücke CVE-2021-37973 aus der letzten Woche beseitigt. Opera und Vivaldi basieren derzeit noch auf Chromium 93. Am 19. Oktober soll Chrome 95 erscheinen, am 16. November soll Chrome 96 folgen.



Chromium-basierte Browser in der Übersicht: