Categories: BrowserWorkspace

Chrome 106: Google schließt 20 Sicherheitslücken

Google hat die finale Version von Chrome 106 zum Download freigegeben. Das Update schließt 20 Sicherheitslücken. Von mindestens fünf Anfälligkeiten geht ein hohes Risiko aus. Angreifer können unter Umständen Schadcode einschleusen und innerhalb der Sandbox des Browsers ausführen.

Besonders schwerwiegend sind vier Use-after-Free-Bugs in den Komponenten CSS, Survey und Media. Darüber hinaus prüfen die Entwickler-Tools nicht vertrauenswürdige Eingaben unzureichend – auch hierfür vergibt Google den Schweregrad Hoch.

Weitere acht Schwachstellen sind als “mittel” eingestuft. Unter anderem setzen Chrome 105 und früher eine Richtlinie für die Developer Tools nur unzureichend um. Es wurde aber auch ein Type Confusion Bug in der JavaScript-Engine Blink beseitigt. Zudem stecken auch in den Komponenten Assistant, Import und Logging Use-after-Free-Bugs.

Ein niedriges Risiko geht indes von einem Fehler in der Sicherheitsfunktion Safe Browsing aus, der ebenfalls zu einer unzureichend Prüfung von nicht vertrauenswürdigen Eingaben führt. Das gilt auch für einen Use-after-Free-Bug in den Benachrichtigungen von ChromeOS.

Google schüttet an die Sicherheitsforscher, die die jeweiligen Lücken gemeldet haben, Prämien in Höhe von 38.500 Dollar aus. Der Betrag verteilt sich auf insgesamt acht Forscher, mit Belohnungen zwischen 2000 und 9000 Dollar. Für acht weitere Schwachstellen muss Google die Höhe der Prämie noch festlegen.

Chrome 106 wird automatisch über die Update-Funktion des Google-Browsers verteilt. Gegebenenfalls muss der Browser neu gestartet werden, um die Installation des Updates abzuschließen. Unter macOS und Linux sollte anschließend die Version 106.0.5249.61 sowie unter Windows die Version 106.0.5249.61 oder 62 vorliegen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

1 Tag ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

1 Tag ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago