Google schließt neunte Zero-Day-Lücke in Chrome in diesem Jahr

Google hat nur drei Tage nach der Veröffentlichung von Chrome 108 einen außerplanmäßigen Notfallpatch für seinen Browser zum Download freigegeben. Das Update schließt eine Zero-Day-Lücke, die laut den Versionshinweisen bereits aktiv für Angriffe ausgenutzt wird. Es ist bereits das neunte Mal in diesem Jahr, dass Google einen öffentlichen Exploit für eine ungepatchte Schwachstelle in Chrome reagieren muss.

Betroffen ist Chrome für Windows, macOS und Linux in der Version 108.0.5359.72 und früher. Auch Chrome für Android ist von der Zero-Day-Lücke betroffen, von der ein hohes Risiko ausgehen soll. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und innerhalb der Sandbox des Browsers ausführen.

Out-of-bounds-Speicherzugriff

Der Fehler steckt in der JavaScript-Engine V8. Google beschreibt ihn als einen Type-Confusion-Bug. Dabei wird einer Ressource wie einem Zeiger, einem Objekt oder einer Variable ein bestimmter Typ zugewiesen, die Anwendung greift jedoch zu einem späteren Zeitpunkt unter Verwendung eines anderen, inkompatiblen Typs auf diese Ressource zu. Dadurch wird unter Umständen ein Out-of-bounds-Speicherzugriff ermöglicht.

Entdeckt wurde die Anfälligkeit von Clement Lecigne von Googles Threat Analysis Group am 29. November. Laut der Schwachstellen-Datenbank des US-NIST kann die Schwachstelle mithilfe einer speziell gestalteten HTML-Datei ausgenutzt werden. Ein Angreifer muss ein Opfer offenbar also lediglich dazu verleiten, auf einen Link zu klicken oder eine von ihm kontrollierte Website zu besuchen.

Automatische Update-Funktion von Chrome nutzen

Nutzer von Google Chrome sollten möglichst zeitnah auf die fehlerbereinigten Versionen 108.0.5359.94 für Mac und Linux sowie 108.0.5359.94/.95 für Windows umsteigen. Die Verteilung erfolgt wie immer über die automatische Update-Funktion des Browsers. In der Regel muss Chrome neu gestartet werden, um die Aktualisierung abzuschließen.