Google schließt aktiv ausgenutzte Zero-Day-Lücke in Chrome

Google hat ein wichtiges Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Chrome 89 steht ab sofort für Windows, macOS und Linux zum Download bereit. Die Aktualisierung beseitigt insgesamt 47 Anfälligkeiten. Darunter ist eine Schwachstelle, für die nach Angaben des Unternehmens bereits ein Exploit im Umlauf ist.

Dabei handelt es sich um die Anfälligkeit mit der Kennung CVE-2021-21166. Sie steckt in der Audiokomponente von Chrome. Bewertet ist der Bug mit dem Schweregrad “hoch”. Ein Angreifer kann unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.

Details nennt Google zu 33 Schwachstellen. Neben der Zero-Day-Lücke stuft das Unternehmen weitere sieben Fehler als “High” ein. Darunter sind mehrere Heap-Pufferüberläufe sowie ein Use-after-free-Bug, unter anderem in WebAudio und WebRTC.

Entdeckt wurde CVE-2021-21166 von Alison Huffman, die sich bei Microsoft mit Browser-Schwachstellen beschäftigt. Da Edge inzwischen auf Chromium als Codebasis setzt, also die Open-Source-Version von Chrome, betroffen viele Bugs im Microsoft-Browser auch den Google-Browser. Als Folge enthält das aktuelle Chrome-Update Fixes für zwei weitere schwerwiegende Sicherheitslöcher, die von Huffman gemeldet wurden.

Die Fixes sind Bestandteil der finalen Version von Chrome 89 (Version 89.0.4389.72). Nutzer erhalten das Update automatisch, für den Abschluss der Installation ist unter Umständen ein Neustart des Browsers erforderlich.

Details zu den Sicherheitslücken hält Google wie immer zurück. Sie werden erst veröffentlicht, wenn eine Mehrheit der Nutzer auf die neue Version umgestiegen auch.