Google schließt Zero-Day-Lücke in Chrome
Sie erlaubt das Einschleusen und Ausführen von Schadcode innerhalb der Sandbox. Betroffen sind Chrome für Windows, macOS und Linux. Google stopft insgesamt elf Löcher in Chrome.
Google hat seinen Browser Chrome auf die Version 98.0.4758.102 aktualisiert. Das Sicherheitsupdate beseitigt eine Zero-Day-Lücke, die nach Angaben des Unternehmens bereits aktiv für Hackerangriffe eingesetzt wird. Das von ihr ausgehende Risiko stufen die Entwickler als hoch ein – ein Angreifer kann unter Umständen Schadcode einschleusen und innerhalb der Browser-Sandbox ausführen.
Der Fehler steckt in der Browser-Komponente Animation. Entdeckt wurde er von zwei Mitarbeitern von Googles Threat Analysis Group. Um die Entwicklung weiterer Exploits für die Schwachstelle nicht zu begünstigen, hält Google derzeit noch alle technischen Details zurück.
Insgesamt bringt das Update Fixes für elf Anfälligkeiten. Sie stecken unter anderen in den Komponenten File Manager, Tab Groups, Webstore API, GPU und Gamepad API. Bis auch ein Sicherheitsleck stuft Google alle Schwachstellen als “hoch” gefährlich ein.
Den Sicherheitsforschern, die die Fehler gemeldet haben, zahlt das Unternehmen Prämien in Höhe von 36.000 Dollar – verteilt auf insgesamt vier Bugs. Bei zwei Lücken wurde noch keine Belohnung festgelegt, zwei weitere Schwachstellen wurden von Google-Mitarbeitern gemeldet, die für ihre Arbeit keine zusätzlichen Prämien erhalten.
Chrome 98.0.4758.102 wird über die automatische Update-Funktion des Browsers verteilt. Zum Abschluss der Installation ist ein Neustart des Browsers erforderlich. Erhältlich ist das Update für Windows, macOS und Linux.
2021 hatte Google die erste Zero-Day-Lücke des Jahres in Chrome bereits am 4. Februar geschlossen. Laut BleepingComputer folgten weitere 15 Zero-Day-Lücken im Lauf des Jahres. Für 2022 handelt es sich nun um die erste Zero-Day-Lücke des Jahres.