Bereits im Visier von Angreifern: Google schließt Zero-Day-Lücke in Chrome
Betroffen ist Chrome 105 und früher für Windows, macOS und Linux. Das von der Schwachstelle ausgehende Risiko stuft Google als hoch ein. Auch Microsoft Edge und andere Chromium-basierte Browser sind angreifbar.
Nur drei Tage nach der Veröffentlichung von Chrome 105 hat Google ein weiteres Sicherheitsupdate für seinen Browser nachgeschoben. Die Version 105.0.5195.102 schließt eine Zero-Day-Lücke, für die bereits ein Exploit verteilt wird.
Den Versionshinweisen zufolge geht von der Schwachstelle mit der Kennung CVE-2022-3075 ein hohes Risiko aus. Ein Angreifer kann demnach unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Sandbox von Chrome ausführen. Die Schwachstelle wird durch eine unzureichende Prüfung von Eingaben in die Komponente Mojo ausgelöst. Dabei handelt es sich um eine Sammlung von Laufzeit-Bibliotheken, die eine Kommunikation zwischen Prozessen erlaubt.
Entdeckt wurde die Anfälligkeit laut Google von einem anonymen Sicherheitsforscher. Der meldete den Bug demnach am 30. August – also an dem Tag, an dem Chrome 105 zum Download freigegeben wurde. Ob der Fehler überhaupt erst mit Chrome 105 eingeführt wurde oder auch ältere Versionen des Browsers betrifft, ist nicht bekannt. Google hält jegliche Details zu der Sicherheitslücke zurück, um Nutzern ausreichend Zeit zu geben, auf eine fehlerbereinigte Version umzusteigen.
Auch alle anderen Chromium-basierten Browser angreifbar
Darüber hinaus gibt Google auch den Entwicklern anderer Browser, die ebenfalls die Codebasis von Chromium nutzen, die Möglichkeit, eigene Sicherheitspatches zu entwickeln und zu verteilen. So steht beispielsweise auch ein Update für Microsoft Edge 105 zum Download bereit, das die Zero-Day-Lücke schließen soll.
Google bietet Chrome 105.0.5195.102 für Windows, macOS und Linux an. Nutzer, die Chrome bereits installiert haben, erhalten das Update automatisch. Zum Abschluss der Installation ist unter Umständen ein Neustart des Browsers erforderlich. Auch der Extended Stable Channel von Chrome wurde aktualisiert.
Edge-Nutzer sollten auf die Version 105.0.1343.27 umsteigen, in der der Fix für die Zero-Day-Lücke enthalten ist. Im Extended Stable Channel von Edge gilt jetzt die Version 104.0.1293.81 als sicher.