Mit dem Notfall-Update für den Chrome-Webbrowser schließt Google eine Zero-Day-Sicherheitslücke, die bereits aktiv von böswilligen Akteuren ausgenutzt wird. Die Lücke betrifft die Windows-, macOS- und Linux-Versionen des beliebten Browsers.
„Google ist sich bewusst, dass ein Exploit für [die Sicherheitslücke] CVE-2021-37973 in freier Wildbahn existiert“, kommentierte Google die neue Zero-Day-Sicherheitslücke. Bei der als schwerwiegend eingestuften Lücke geht es um einen Use-after-free-Fehler (UAF) in der Portals-Web-API, der Webseitennavigations-Komponente der Chromium-Browser-Engine von Google.
Clément Lecigne von Googles Threat Analysis Group (TAG) entdeckte die Sicherheitslücke am 21. September, mit technischer Unterstützung durch zwei Kollegen von Googles Project Zero Sergei Glasunov und Mark Brand.
Die Schwere der Sicherheitslücke machte ein eigenes offizielles Update für den Chrome-Browser erforderlich. Nachdem das Chrome-Entwicklungsteam von Lecigne und seinen Kollegen darüber informiert wurde, dass der Fehler aktiv in freier Wildbahn ausgenutzt wird, dauerte es nur drei Tage, bis ein Update bereitstand. Bemerkenswert ist auch, dass es nur wenige Tage nach dem letzten Chrome-Update erscheint, mit dem Google weitere 19 Sicherheitslücken geschlossen hat.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat ebenfalls eine Sicherheitsempfehlung herausgegeben und sowohl Benutzer als auch Systemadministratoren dazu aufgefordert, ihre Browser zu aktualisieren. „Google hat Chrome-Version 94.0.4606.61 für Windows, Mac und Linux veröffentlicht. Diese Version behebt eine Schwachstelle – CVE-2021-37973 –, die ein Angreifer ausnutzen kann, um die Kontrolle über ein betroffenes System zu erlangen. Ein Exploit für diese Schwachstelle existiert in freier Wildbahn“, teilte die Agentur mit.
In Anbetracht des Zeitpunkts und des Schweregrads der offengelegten Schwachstelle sollten Sie Ihren Browser so schnell wie möglich auf die neueste Version (94.0.4606.61) aktualisieren. Wenn Sie automatische Updates aktiviert haben, sollte der Browser in der Lage sein, sich selbstständig auf die neueste verfügbare Version zu aktualisieren.
Falls Sie die Funktion jedoch nicht aktiviert haben, können Sie Ihren Browser auch manuell aktualisieren, indem Sie den Abschnitt Über Google Chrome unter Hilfe besuchen.