Google schließt aktiv ausgenutzte Zero-Day-Lücke in Chrome
Von der Schwachstelle geht ein hohes Risiko ein. Sie erlaubt unter Umständen eine Remotecodeausführung. Betroffen sind auch auf Chromium basierende Browser wie Edge.
Google hat eine Zero-Day-Lücke in seinem Browser Chrome geschlossen. Das dafür benötigte Update auf die Version 99.0.4844.84 steht für Windows, macOS und Linux zur Verfügung. Nach Angaben des Unternehmens ist bereits ein Exploit für die Schwachstellte im Umlauf.
Der Fehler, ein Type Confusion Bug, steckt in der JavaScript-Engine V8. Das von der Anfälligkeit ausgehende Risiko stufen die Entwickler als hoch ein. Ein Angreifer kann unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.
Gemeldet wurde die Sicherheitslücke am vergangenen Mittwoch von einem nicht näher genannten Sicherheitsforscher. Die Höhe der Belohnung, die Google für die Details zu der Schwachstelle ausschüttet, wurde noch nicht festgelegt. Das Update wiederum steht bereits seit Freitag zur Verfügung.
Weitere Details hält Google absichtlich zurück, bis der größte Teil seiner Nutzer die fehlerbereinigte Version von Chrome installiert hat. Darüber hinaus sind auch Browser anderer Hersteller angreifbar, die auf Chromium als Unterbau setzen. Von daher sollten beispielsweise auch Nutzer von Edge, Opera und Brave nach Updates Ausschau halten, die einen Fix für die Lücke mit der Kennung CVE-2022-1096 enthalten. In Edge wurde das Loch mit der Version 99.0.1150.55 gestopft.
Wie BleepingComputer anmerkt, ist es bereits die zweite Zero-Day-Lücke in Chrome, auf die Google in diesem Jahr reagieren musste. Die erste Zero-Day-Lücke wurde im Februar geschlossen. Wie inzwischen bekannt wurde, wurde sie von nordkoreanischen Hackern für zielgerichtete Angriffe benutzt.
