Google hat ein Update für seinen Chrome-Webbrowser herausgebracht, das eine Reihe von Sicherheitslücken behebt, darunter einen Zero-Day-Fehler, der schon aktiv in freier Wildbahn ausgenutzt wird. Die Sicherheitslücken betreffen die Windows-, macOS- und Linux-Versionen des beliebten Browsers.
„Google sind Berichte bekannt, dass ein Exploit für CVE-2021-30563 in freier Wildbahn existiert“, heißt es in dem Sicherheitsupdate von Google, das die neu aufgedeckte Zero-Day-Schwachstelle beschreibt. Diese rührt von einem Typverwechslungsfehler in der Open-Source-JavaScript-Engine V8 her, die in Chrome und anderen Chromium-basierten Webbrowsern verwendet wird.
Laut CyberSecurityHelp könnte ein Remote-Angreifer die Sicherheitsanfälligkeit dadurch ausnutzen, dass er ein unwissentliches Opfer dazu verleitet, eine von ihm speziell präparierte Website zu besuchen, die den Typverwechslungsfehler auslöst und die Ausführung von beliebigen Code auf dem betroffenen System ermöglicht. „Eine erfolgreiche Ausnutzung dieser Schwachstelle kann zu einer vollständigen Kompromittierung des anfälligen Systems führen“, schloss CyberSecurityHelp.
Neben dem Zero-Day-Fehler behebt die neue Version sieben weitere Sicherheitslücken, wobei Google speziell sechs Fehler auflistet, bei denen die Bug-Fixes von externen Forschern beigesteuert wurden. Fünf Schwachstellen wurden als hochgradig und eine als mittelschwer eingestuft.
Weitere Details zu den Sicherheitslücken hat Google nicht veröffentlicht. Dies ist gängige Praxis, da das Unternehmen möchte, dass so viele Benutzer wie möglich die Gelegenheit haben, ihre Chrome-Browser auf die neueste verfügbare Version zu aktualisieren. So soll die Wahrscheinlichkeit verringert werden, dass die Sicherheitslücken von Cyberkriminellen früh ausgenutzt werden.
Das Hong Kong Computer Emergency Response Team Coordination Center (HKCERT) stufte die Schwachstellen als extrem riskant ein. „In Google Chrome wurden mehrere Schwachstellen identifiziert, die ein Remote-Angreifer ausnutzen könnte, um Remotecodeausführung und Datenmanipulation auf dem Zielsystem auszulösen“, warnte die Organisation.
Angesichts der offengelegten Sicherheitslücken sollten sowohl Admins als auch Benutzer ihre Browser so schnell wie möglich auf die neueste Version (91.0.4472.164) aktualisieren. Wenn Sie automatische Updates aktiviert haben, sollte Ihr Browser von selbst auf die neueste verfügbare Version aktualisieren. Wenn nicht, können Sie Ihren Chrome (oder Chromium-basierten) Browser auch manuell aktualisieren, indem Sie den Menüpunkt Über Google Chrome unter Hilfe anklicken, um das Update anzustoßen. Andere Browser sind für diese Schwachstellen übrigens nicht anfällig.