Mit den neuen Chrome-Versionen 123.0.6312.86/87 für Windows und macOS sowie 123.0.6312.86 für Linux vom 26. März 2024 behebt Google sieben Schwachstellen in seinem Browser. Zwei der Sicherheitslücken stammen aus dem Hacker-Wettbewerb Pwn2own. Bislang wird offenbar keine der Lücken für reale Angriffe ausgenutzt. Hersteller anderer Chromium-basierter Browser werden bald nachziehen.
Update 28. März: Laut Microsoft ist unter den beseitigten Schwachstellen auch eine 0-Day-Lücke, also eine, die bereits für Angriffe genutzt wird oder für die ein Exploit (Code-Beispiel zur Ausnutzung) öffentlich verfügbar ist. Weitere Informationen hierzu finden Sie weiter unten.
Im Chrome Release Blog führt Srinivas Sista diejenigen vier der insgesamt sieben Sicherheitslücken auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet wurden. Google stuft eine dieser Schwachstellen (CVE-2024-2883) als kritisch ein. Die bereits Anfang März an Google gemeldete Use-after-free-Lücke steckt in der Grafikschnittstelle ANGLE und bringt ihrem Entdecker 10.000 US-Dollar Prämie ein.
ZDI
Drei weitere Sicherheitslücken sind als hohes Risiko ausgewiesen. Die Use-after-free-Lücke CVE-2024-2885 steckt in Dawn (WebGPU-Implementierung). Die beiden anderen Schwachstellen sind in der letzten Woche beim Hacker-Wettbewerb Pwn2own in Vancouver aufgedeckt worden. Seunghyun Lee hat CVE-2024-2886 ausgenutzt, eine Use-after-free-Lücke in WebCodecs, und dafür 60.000 Dollar gewonnen. Der spätere Pwn2own-Gesamtsieger Manfred Paul aus Bonn hat am selben Tag CVE-2024-2887 beigesteuert, eine Typverwechslung in WebAssembly, die ihm im Wettbewerb 42.500 Dollar eingebracht hat.
▶Die neuesten Sicherheits-Updates
Zu den intern entdeckten Lücken macht Google keine Angaben. Liest man den Ablauf der beiden Pwn2own-Tage im ZDI-Blog sorgfältig, fällt auf, dass Chrome und Edge mehr als zweimal gehackt wurden. Das können also noch nicht alle Sicherheitslücken gewesen sein. Google hat auch Chrome 123.0.6312.80 für Android veröffentlicht. Darin sind die gleichen Schwachstellen behoben.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, schnell mit Updates nachzuziehen. Microsoft Edge und Brave haben den Wechsel auf Chromium 123 bereits vollzogen und sind auf dem Sicherheitsstand vor diesem Chrome-Update. Microsoft verlautbart, man sei der „exploits existing in the wild“ gewahr und arbeite „aktiv“ an einem Update. Anscheinend betrachtet Microsoft die Pwn2own-Schwachstellen als 0-Day-Lücken – oder kennt noch weitere.
Vivaldi lässt Chromium 123 aus und setzt auf den Extended Stable Channel der vorherigen Generation. Bei Opera ist Version 109 auf Basis von Chromium 123 noch im Beta-Teststadium. Die Norweger hängen nun also schon wieder zwei Updates hinterher.
Update 28. März
Vivaldi hat am 27. März ein Update auf die Browser-Version 6.6.3271.55 bereitgestellt, die auf Chromium 122.0.6261.150 basiert. Brave hat mit einem Update auf Version 1.64.113 nachgezogen, setzt dabei auf Chromium 123.0.6312.86. Opera hat am selben Tag mit Opera One 109.0.5097.33 den Wechsel auf Chromium 123 vollzogen. Allerdings steckt darin noch die veraltete und unsichere Chromium-Version 123.0.6312.46. Die hatte Google beim Early Stable Update vom 13. März in Chrome verwendet. Diese frühe Version haben nur relativ wenige Benutzer erhalten – ein Early Stable Update erscheint regelmäßig eine knappe Woche vor der allgemeinen Verfügbarkeit einer neuen Chrome-Hauptversion.
Nachtrag: Opera hat inzwischen die Version 109.0.5097.35 nachgelegt, in der Chromium 123.0.6312.59 steckt – das ist immerhin der Sicherheitsstand der letzten Woche (Kw.12).
Microsoft: 0-Day-Lücke in Chromium-Browsern
Microsoft hat spät am Abend des 27. März (nach europäischer Zeit) konkretere Informationen zur am Vortag verlautbarten 0-Day-Lücke (siehe oben) veröffentlicht. Demnach ist Exploit-Code für die von Google als kritisch eingestufte Sicherheitslücke CVE-2024-2883 in der Komponente ANGLE verfügbar. Microsoft bezieht sich bei dieser Aussage auf das Chromium Team. Diese Informationen müssten also auch Google vorliegen, das jedoch in seinem Release Blog keine Aussage dazu macht. Bislang hat Google an dieser Stelle 0-Day-Lücken in Chrome durchaus stets publik gemacht, sobald sie per Update geschlossen waren.
Microsoft stellt für seinen Browser Edge ein Update auf die Version 123.0.2420.65 bereit. Es basiert auf Chromium 123.0.6312.87, beseitigt also auch alle anderen oben genannten Schwachstellen, einschließlich der Pwn2own-Lücken.
Chromium-basierte Browser in der Übersicht:
BrowserVersionChromuim-Versionabgesichert?Google Chrome123.0.6312.86123.0.6312.86🟢Brave1.64.113123.0.6312.86🟢Microsoft Edge123.0.2420.65123.0.6312.87🟢Opera One109.0.5097.35123.0.6312.59🟠Vivaldi6.6.3271.55122.0.6261.150🟢Chromium-basierte Browser – Stand: 27.03.2024
Android, Business, Online Services, Security Software and Services