2621250

Zwei neue 0-Day-Lücken in Chrome

29.10.2021 | 09:11 Uhr | Frank Ziemann

Mit dem ersten Sicherheits-Update für Chrome 95 schließt Google zwei 0-Day-Lücken in seinem Browser. Die Chrome-Entwickler haben insgesamt acht Sicherheitslücken beseitigt.

Für das Update auf die neue Version Chrome 95.0.4638.69 führt Prudhvikumar Bommana im Chrome Release Blog sieben behobene Schwachstellen auf, die durch externe Forscher entdeckt und gemeldet worden sind. Zwei dieser Lücken sind als 0-Day-Lücken ausgewiesen – es gibt offenbar Angriffe, bei denen sie ausgenutzt werden. Damit ist die Zahl der allein in diesem Jahr beseitigten 0-Day-Lücken in Chrome auf 16 angewachsen.

Google stuft alle sieben aufgeführten Schwachstellen (CVE-2021-37997 bis -38003) als hohes Risiko ein. Die Sicherheitslücken CVE-2021-38000 und CVE-2021-38003 sind durch Googles Threat Analysis Group (TAG) entdeckt worden. Das kann als Hinweis gelten, dass diese 0-Day-Lücken tatsächlich bereits für Angriffe genutzt werden und nicht nur irgend jemand exemplarischen Exploit-Code veröffentlicht hat.

Bei den übrigen Schwachstellen handelt es sich unter anderem um drei Use-after-free-Lücken (Sign-In, Garbage Collection, Web Transport). Die Entdecker erhalten Prämien in Höhe von insgesamt 18.500 US-Dollar. Zu der achten, intern entdeckten Schwachstelle macht Google wie immer keine Angaben.

▶Die neuesten Sicherheits-Updates

Die Hersteller anderer Chromium-basierter Browser sollten möglichst bald nachziehen. Brave und Edge sind immerhin bereits auf Chromium 95 umgestellt, was bei Vivaldi und Opera noch aussteht. Am 16. November soll Chrome 96 erscheinen, Chrome 97 soll erst am 4. Januar folgen.

Chromium-basierte Browser in der Übersicht:

Browser

Version

Chromium-Version

Google Chrome

95.0.4638.69

95.0.4638.69  🟢

Microsoft Edge

95.0.1020.38

95.0.4638.54  🟠

Brave

1.31.87

95.0.4638.54  🟠

Vivaldi

4.3.2439.56

94.0.4606.104 🟠

Opera

80.0.4170.72

94.0.4606.81  🔴

Chromium-basierte Browser – Stand: 28.10.2021

 

PC-WELT Marktplatz

2621250