Chrome 105: Google stopft kritische Sicherheitslücke
Schadcode lässt sich unter Umständen außerhalb der Sandbox von Chrome ausführen. Insgesamt beseitigt Google 24 Schwachstellen in seinem Browser.
Google hat die finale Version von Chrome 105 zum Download freigegeben. Das Update beseitigt vor allem Sicherheitsprobleme. Darunter ist eine als kritisch bewertete Anfälligkeit. Sie erlaubt es unter Umständen, im Rahmen der üblichen Browsernutzung Schadcode einzuschleusen und außerhalb der Sandbox von Chrome auszuführen.
Die kritische Lücke steckt in der Komponente Network Service, über die auschließlich grundlegende Netzwerkkommunikation wie HTTP oder Web Sockets abgewickelt wird. Entdeckt wurde die Schwachstelle von Sergei Glazunov von Google Project Zero.
Von weiteren acht Bugs geht ein hohes Sicherheitsrisiko aus. Auch hier kann es zu einer Remotecodeausführung kommen, die jedoch auf die Chrome-Sandbox beschränkt ist. Unter anderem beseitigten die Entwickler Use-after-free-Bugs in WebSQL und Layout sowie einen Heap-Buffer-Überlauf in Screen Capture.
Im Rahmen seines Prämienprogramms schüttete Google für Chrome 105 bisher 62.500 Dollar an Sicherheitsforscher aus. Darunter sind unter anderem 10.000 Dollar für Nan Wang und Guang Gong vom 360 Vulnerability Research Institure und 9000 Dollar für einen anonymen Forscher. Für fünf Fixes in Chrome 105 wurden noch keine Prämien festgelegt – Googles eigene Mitarbeiter sind indes von den Belohnungen ausgeschlossen.
Das Aktualisierung steht für macOS und Linux zur Verfügung und wird über die integrierte Updatefunktion des Browsers verteil. Unter macOS und Linux erhalten Nutzer die Version 105.0.5195.52. Für Windows nennt Google die Versionsnummern 105.0.5195.52/53/54. Das Update sollte in den kommenden Tagen automatisch installiert werden. In der Regel ist ein Neustart des Browsers erforderlich, um das Update abzuschließen.