Mit dem zweiten Chrome-Update in dieser Woche und den neuen Chrome-Versionen 124.0.6367.201/202 für Windows und macOS sowie 124.0.6367.201 für Linux vom 9. Mai schließt Google eine weitere Sicherheitslücke in seinem Browser. Diese Schwachstelle wird schon für Angriffe ausgenutzt. Hersteller anderer Chromium-basierter Browser sollten also dringend nachziehen.
Im Chrome Release Blog bietet Daniel Yip spärliche Informationen zur Sicherheitslücke CVE-2024-4671. Sie ist durch einen anonymen Sicherheitsforscher entdeckt und am 7. Mai an Google gemeldet worden. Google stuft die Schwachstelle als hohes Risiko ein. Es handelt sich um eine Use-after-free-Lücke in der Komponente Visuals. Die Lücken kann genutzt werden, um Code einzuschleusen und auszuführen – und offenbar ist das auch bereits der Fall.
▶Die neuesten Sicherheits-Updates
Google hatte erst zwei Tage zuvor ein Sicherheits-Update für Chrome ausgeliefert. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome (alternativ: » Einstellungen » Über Google Chrome) können Sie die Update-Prüfung manuell anstoßen.
Chrome 125 steht bereits in den Startlöchern. Google verteilt es seit dem 8. Mai an eine kleine Anzahl Benutzer. Es stehen Versionen für Windows, macOS, Android und iOS bereit. Am kommenden Dienstag, 14. Mai, will Google Chrome 125 für alle freigeben.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, schnell mit Updates nachzuziehen – möglichst noch vor dem Wochenende. Brave und Vivaldi haben am 8. Mai Updates zur Verfügung gestellt und sind damit auf dem Sicherheitsstand vor diesem Chrome-Update. Microsoft (Edge) hat diesen Schritt noch nicht vollzogen, hängt noch auf dem Stand der letzten Woche. Microsoft könnte so allerdings gleich zwei Fliegen mit einer Klappe schlagen und ein (mutmaßlich schon fast fertiges) Update überspringen. Der Blog-Eintrag vom 9. Mai stützt diese Annahme.
Die aktuelle Version Opera One 109.0.5097.80 basiert noch auf Chromium 123.0.6312.124. Opera 110 auf Chromium-124-Basis ist immer noch im Beta-Teststadium – und in einer Woche folgt bereits Chrome 125. Opera hängt somit bereits fünf Sicherheits-Updates hinterher. Nachdem die Norweger vor einem Jahr in dieser Hinsicht eine großen Schritt vorwärts gemacht hatten, fallen sie nun offenbar wieder in den alten Trott zurück. Hoffentlich motiviert die 0-Day-Lücke Opera dazu, seinen Nutzern endlich ein Sicherheits-Update zur Verfügung zu stellen, statt an vermeintlich wichtigen „KI“-Funktionen herumzubasteln.
Update 13. Mai
Noch am 10. Mai haben Brave und einige Stunden später auch Microsoft Browser-Updates bereitgestellt, um die 0-Day-Lücke zu beseitigen. Bei Edge 124.0.2478.97 hat Microsoft auch die Chromium-Schwachstellen aus dem vorherigen Update behoben. Außerdem haben die Microsoft-Entwickler eine Edge-spezifische Sicherheitslücke (CVE-2024-30055 – Risiko: niedrig) geschlossen. Google hat Chrome 124.0.6367.171 für Android veröffentlicht. Darin ist die 0-Day-Lücke CVE-2024-4671 ebenfalls gestopft.
Bei Vivaldi hat man auch am Samstag gearbeitet, um das Update auf Version 6.7.3329.27 zur Verfügung stellen zu können. Bei Opera ist hingegen nach wie vor kein Bemühen zu erkennen, die in den letzten Wochen aufgelaufenen Sicherheitslücken zu schließen.
Chromium-basierte Browser in der Übersicht:
Browser VersionChromium-Versionabgesichert?Google Chrome124.0.6367.202124.0.6367.202🟢Brave1.65.132124.0.6367.202🟢Microsoft Edge124.0.2478.97124.0.6367.201🟢Opera One109.0.5097.80123.0.6312.124🔴Vivaldi6.7.3329.27124.0.6367.206🟢Chromium-basierte Browser – Stand: 12.05.2024
Business, Mobile, Online Services, Security Software and Services