Notfall-Patch: Google schließt kritische Zero-Day-Lücke in Chrome
Hacker nehmen die Schwachstelle bereits ins Visier. Google entwickelt innerhalb von drei Tagen einen Patch. Betroffen sind Chrome 94 und früher für Windows, macOS und Linux.
Google hat nur drei Tage nach der Veröffentlichung von Chrome 94 einen Notfall-Patch für seinen Browser freigegeben. Das Update schließt eine als kritisch eingestufte Sicherheitslücke. Sie wird nach Angaben des Unternehmens bereits aktiv von Hackern ausgenutzt.
Betroffen sind Chrome 94 und früher für Windows, macOS und Linux. Googles Sicherheitswarnung zufolge steckt in der Komponente Portals ein Use-after-Free-Bug. Portals ist eine neue Programmierschnittstelle für Chrome, die die Navigation zwischen Websites verbessern und beschleunigen soll.
Entdeckt wurde die Anfälligkeit am 21. September – an dem Tag, an dem Google die finale Version von Chrome 94 an den Stable Channel übergeben hat. Auf den Fehler aufmerksam wurde Clément Lecigne von Googles Threat Analysis Group. Unterstützung erhielt er von Sergei Glazunov und Mark Brank von Googles Project Zero.
Zu Details der Schwachstelle machte Google bisher keine Angaben. “Der Zugang zu Fehlerdetails und Links kann eingeschränkt werden, bis die meisten Nutzer mit einer Korrektur versorgt ist. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, von der andere Projekte in ähnlicher Weise abhängen, die aber noch nicht behoben wurden”, teilte Google mit.
Da Google bereits Angriffe auf die Sicherheitslücke bekannt sind, sollten Nutzer möglichst zeitnah auf die fehlerbereinigte Version 94.0.4606.61 umsteigen. Sie wird seit Ende vergangener Woche von Google verteilt – für den Abschluss der Installation muss der Browser unter Umständen neu gestartet werden.
Chrome 94 enthält mit der Idle Detection API eine neue Programmierschnittstelle, die laut Ghacks kontrovers diskutiert wird. Sie erlaubt es Websitebetreibern zu erkennen, ob Nutzer den Browser aktiv nutzen oder “untätig” sind. Mozilla und Apple kündigten an, auf die API zu verzichten, da sie auch missbräuchlich eingesetzt werden kann.