Mit den neuen Chrome-Versionen 123.0.6312.105/106/107 für Windows und macOS sowie 123.0.6312.105 für Linux vom 2. April stopft Google drei Browser-Schwachstellen. Eine dieser Sicherheitslücken ist beim Hacker-Wettbewerb Pwn2own aufgedeckt worden. Bislang wird offenbar keine der Lücken für reale Angriffe ausgenutzt. Hersteller anderer Chromium-basierter Browser dürften rasch nachziehen.
Im Chrome Release Blog führt Srinivas Sista die drei Sicherheitslücken auf, die alle durch externe Sicherheitsforscher entdeckt und an Google gemeldet wurden. Google stuft alle drei Schwachstellen als hohes Risiko ein. Ein Implementierungsfehler in der Javascript-Engine V8 (CVE-2024-3156) bringt seinem Entdecker 7000 US-Dollar Prämie. Eine Use-After-free-Lücke (CVE-2024-3158) in der Komponente Bookmarks basiert offenkundig auf einem Fehler beim Umgang mit Lesezeichen. Ihr Entdecker erhält eine Prämie in Höhe von 3000 US-Dollar.
▶Die neuesten Sicherheits-Updates
Die Schwachstelle CVE-2024-3159 steckt wiederum in der Javascript-Engine V8 und besteht aus einem unzulässigen Speicherzugriff. Forscher des kalifornischen IT-Sicherheitsunternehmens Palo Alto Networks haben die Lücke während des Hacker-Wettbewerbs Pwn2own in Vancouver ausgenutzt, um Chrome (und Edge) zu hacken. Bereits in der letzten Woche hatte Google zwei Pwn2own-Lücken und eine 0-Day-Lücke in Chrome gestopft. Google hat auch Chrome 123.0.6312.99 für Android veröffentlicht. Darin sind die gleichen Schwachstellen behoben.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, schnell mit Updates nachzuziehen. Brave, Microsoft Edge und Vivaldi sind seit letzter Woche auf dem Sicherheitsstand vor dem neuesten Chrome-Update. Opera hat hingegen erst wenige Stunden vor diesem Chrome-Update die Version Opera One 109.0.5097.38 bereitgestellt und so mit den anderen Browsern gleichgezogen.
Chromium-basierte Browser in der Übersicht:
BrowserVersionChromium-Versionabgesichert?Google Chrome123.0.6312.106123.0.6312.106🟢Brave1.64.113123.0.6312.86🟠Microsoft Edge123.0.2420.65123.0.6312.87🟠Opera One109.0.5097.38123.0.6312.87🟠Vivaldi6.6.3271.55122.0.6261.150🟠Chromium-basierte Browser – Stand: 02.04.2024
Business, Online Services, Security Software and Services