Die neue Chrome-Version 117.0.5938.132 für Windows, macOS und Linux vom 27. September beseitigt zehn Schwachstellen im Google-Browser. Die Sicherheitslücke CVE-2023-5217 wird laut Google bereits für Angriffe ausgenutzt. Vor zwei Wochen hatte Google Chrome 117 veröffentlicht.
Im Chrome Release Blog führt Srinivas Sista diejenigen drei von insgesamt zehn in Chrome gestopften Lücken auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet wurden. Google stuft diese drei Schwachstellen als hohes Risiko ein. Bei der 0-Day-Lücke CVE-2023-5217 handelt es sich um einen Pufferüberlauf in der Programmbibliothek libvpx beim Kodieren von Videos im VP8-Format. Entdeckt hat diese Lücke Clément Lecigne aus Googles Threat Analysis Group (TAG) am 25. September.
Die beiden anderen extern gemeldeten Schwachstellen sind Use-after-free-Lücken in Browser-Komponenten, die Google schon etwas länger bekannt sind. Zu den intern entdeckten Lücken hält sich Google wie immer bedeckt. Es könnten durchaus gefährliche Sicherheitslücken darunter sein. Auch Chrome für Android ist anfällig – Google hat die abgesicherte Version 117.0.5938.140 herausgegeben.
▶Die neuesten Sicherheits-Updates
In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem ⋮ Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Am 4. Oktober will Google Chrome 118 an die ersten Nutzer ausliefern, eine Woche darauf an alle Interessierten.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, mit Updates nachzuziehen. Brave und Microsoft Edge haben immerhin schon den Umstieg auf Chromium 117 vollzogen. Opera hat den Wechsel auf Chromium 117 noch nicht umgesetzt. Opera One 103 mit Chromium 117 ist noch im Beta-Teststadium. Vivaldi bleibt bei seiner Vorgehensweise, ungerade Chromium-Versionen (wie 117) auszulassen und stattdessen den Extended Stable Release der Vorversion zu nutzen. Da es gilt, eine 0-Day-Lücke zu stopfen, sollten alle Hersteller möglichst noch in dieser Woche ein Update bereitstellen.
Update 29. September
Vivaldi hat bereits reagiert und ein Update auf die neue Version 6.2.3105.54 veröffentlicht. Darin steckt die abgesicherte Chromium-Version 116.0.5845.230 aus dem Extended Stable Channel. Brave hat ebenfalls ein Update bereitgestellt. Brave 1.58.135 basiert auf Chromium 117.0.5938.140. Darin sind alle bislang bekannten Lücken geschlossen. Update Ende
Update 30. September
Am Abend des 29. September hat auch Microsoft seinen Browser aktualisiert, um die 0-Day-Lücke CVE-2023-5217 zu schließen. Für Edge 117.0.2045.47 nutzt Microsoft Chromium 117.0.5938.132, wie Google bei Chrome. Update Ende
Chromium-basierte Browser in der Übersicht:
BrowserVersionChromium-Version Google Chrome117.0.5938.132117.0.5938.132🟢Brave1.58.135117.0.5938.140🟢Microsoft Edge117.0.2045.47117.0.5938.132🟢Opera102.0.4880.78116.0.5845.188🔴Vivaldi6.2.3105.54116.0.5845.230🟢Chromium-basierte Browser – Stand: 29.09.2023
Business, Online Services, Security Software and Services