Google schließt erneut Zero-Day-Lücke in Chrome
Von ihr geht ein hohes Risiko aus. Noch schwerwiegender ist jedoch eine Anfälligkeit in der Komponente Mojo. Sie erlaubt eine Remotecodeausführung außerhalb der Sandbox von Chrome.
Google hat ein wichtiges Sicherheitsupdate für seinen Browser Chrome veröffentlicht. Es enthält einen Patch für eine Zero-Day-Lücke, die nach Angaben des Unternehmens bereits aktiv für Angriffe ausgenutzt wird. Den Schweregrad der Anfälligkeit stuft Google als “hoch” ein.
Demnach ist ein Angreifer unter Umständen in der Lage, Schadcode aus der Ferne einzuschleusen und innerhalb der Sandbox des Browsers auszuführen. Anfällig ist die JavaScript-Engine V8. Gemeldet wurde die als Use-after-Free-Bug beschriebene Schwachstelle von einem anonymen Sicherheitsforscher.
Google warnt allerdings auch vor einer kritischen Sicherheitslücke in Chrome. Sie steckt in der Komponente Mojo. Offenbar überprüft sie bestimmte Eingaben nicht ausreichend. Als kritisch bewertet Google Fehler nur dann, wenn Sie einen Sandbox-Escape ermöglichen – ein Hacker könnte also eingeschleusten Code auch außerhalb der Sandbox des Browsers ausführen.
Insgesamt stopft das Update auf die Version Chrome 96.0.4664.110 fünf Löcher. Die weiteren Bugs betreffen die Komponenten Swiftshader und Angle. Auch von ihnen soll ein hohes Risiko für Nutzer ausgehen.
Betroffene sollten zeitnah auf die neue Browserversion umsteigen. Google liefert die Version 96.0.4664.110 automatisch an Chrome für Windows, macOS und Linux aus. Zur Abschluss der Installation ist ein Neustart des Browsers erforderlich.