Google hat ein weiteres Sicherheitsupdate für den Chrome-Browser veröffentlicht. Die neue Version schließt insgesamt 33 Sicherheitslücken, darunter mehrere kritisch eingestufte Schwachstellen.
Nutzer sollten deshalb prüfen, ob Chrome bereits aktualisiert wurde - insbesondere, wenn der Browser seit längerer Zeit geöffnet ist und noch kein Neustart erfolgt ist.
Sieben kritische Schwachstellen behoben
Laut Google enthält das Update 33 Sicherheitskorrekturen. Sieben der behobenen Lücken stuft das Unternehmen als kritisch ein. Betroffen sind unter anderem die Chrome-Komponenten WebShare, WebView, Digital Credentials, File Input, Passwords und Web Authentication.
Auffällig ist, dass mehrere kritische Schwachstellen auf sogenannte Use-after-free-Fehler zurückzuführen sind. Dabei greift ein Programm auf Speicherbereiche zu, die bereits freigegeben wurden. In ungünstigen Fällen können solche Fehler dazu führen, dass ein Angreifer Schadcode ausführt oder vertrauliche Daten ausliest.
Gerade bei Browsern sind solche Lücken besonders relevant, da Angriffe häufig über manipulierte Webseiten, eingebettete Inhalte oder präparierte Eingaben erfolgen. Dafür muss ein Nutzer nicht zwingend eine Datei herunterladen. Schon der Besuch einer entsprechend vorbereiteten Website kann bei bestimmten Schwachstellen riskant sein.
Passwortverwaltung, WebAuthn und weitere Bereiche betroffen.
Google hat unter anderem Lücken im Bereich Passwörter und Web-Authentifizierung geschlossen. Die Passwortverwaltung sowie moderne Anmeldeverfahren wie Passkeys zählen zu den sicherheitskritischen Bestandteilen eines Browsers. Fehler in diesen Bereichen bedeuten jedoch nicht automatisch, dass gespeicherte Passwörter ausgelesen werden konnten.
Neben den kritischen Sicherheitslücken wurden zahlreiche weitere Schwachstellen mit hohem Risiko geschlossen. Betroffen sind die Bereiche Erweiterungen, WebRTC, Safe Browsing, Chromoting, Downloads, Media, GPU und weitere. Zu den Fehlerarten zählen unter anderem Heap-Buffer-Overflows, Out-of-Bounds-Lesezugriffe, unzureichende Eingabevalidierung und fehlerhafte Implementierungen.
Wie üblich hält Google technische Details zu vielen Sicherheitslücken zunächst zurück. Der Grund ist einfach: Solange noch viele Nutzer eine anfällige Chrome-Version verwenden, könnten zu genaue Informationen es Angreifern ermöglichen, funktionierende Exploits zu entwickeln.
In der Regel werden Details zu einzelnen Fehlern erst schrittweise freigegeben, wenn ein großer Teil der Nutzer aktualisiert wurde oder betroffene Drittanbieter ihre Software abgesichert haben. Das bedeutet für Nutzer: Auch wenn nicht jede Lücke im Detail beschrieben wird, sollten sie das Update zeitnah installieren.
In den veröffentlichten Release Notes zu diesem Update nennt Google keine Hinweise darauf, dass eine der 33 Lücken bereits aktiv ausgenutzt wird. Die Einstufung mehrerer Schwachstellen als kritisch ist dennoch ein klares Signal, das Update nicht aufzuschieben.
Diese Chrome-Versionen schließen die Lücken
Für Desktop-Systeme wurde Chrome auf folgende Versionen aktualisiert:
- Windows: 149.0.7827.155/.156
- macOS: 149.0.7827.155/.156
- Linux: 149.0.7827.155
Kurz darauf folgte außerdem ein Early-Stable-Update auf Chrome 150.0.7871.24/25 für Windows und macOS. Dieses wird zunächst nur an einen kleinen Teil der Nutzer ausgeliefert. Auch für Android und iOS wurden neue Chrome-Versionen bereitgestellt.
Nutzer von Chrome auf dem Smartphone sollten deshalb ebenfalls im Play Store bzw. im App Store prüfen, ob eine Aktualisierung verfügbar ist.
