Mit den Updates auf die neuen Chrome-Versionen 120.0.6099.224/225 für Windows sowie 120.0.6099.234 für macOS und 120.0.6099.224 für Linux vom 16. Januar beseitigt Google vier Schwachstellen in seinem Browser, darunter eine 0-Day-Lücke. Diese wird offenbar bereits für Angriffe ausgenutzt. Chrome für Android ist ebenfalls betroffen.
Im Chrome Release Blog führt Srinivas Sista diejenigen drei Sicherheitslücken auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Google stuft alle drei als hohes Risiko ein. Alle drei Schwachstellen betreffen die Javascript-Engine V8. Bei der Lücke CVE-2024-0519 handelt es sich um einen grenzüberschreitenden Speicherzugriff (out of bounds memory access). Die Lücke kann genutzt werden, um Code einzuschleusen und auszuführen – und dies geschieht offenbar auch bereits. Die Schwachstelle wurde erst vor wenigen Tagen an Google gemeldet.
Die Sicherheitslücke CVE-2024-0517 ist nur wenig älter und ähnlicher Natur (out of bounds write). Ihre Meldung bringt dem Entdecker 16.000 US-Dollar Prämie ein. Nur 1000 Dollar gibt es für CVE-2024-0518, eine Typverwechslung in V8. Die Höhe der Prämie für den anonymen Entdecker der 0-Day-Lücke hat Google noch nicht festgelegt.
▶Die neuesten Sicherheits-Updates
In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 120.0.6099.230 veröffentlicht. Darin sind die oben genannten Sicherheitslücken ebenfalls beseitigt. Ob es auch Angriffe auf Android-Nutzer gibt, bleibt unklar. Kurz vor Weihnachten hatte Google bereits ein Notfall-Update für Chrome bereitgestellt.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, schnell mit Updates nachzuziehen. Brave, Microsoft Edge, Vivaldi und Opera sind auf dem Sicherheitsstand vor dem neuesten Chrome-Update.
Update 18. Januar
Im Laufe des 17. Januar haben Brave, Vivaldi und schließlich auch Microsoft ihre Browser aktualisiert, um die 0-Day-Lücke CVE-2024-0519 zu schließen. Microsoft betont dabei, dass der „erweiterte Sicherheitsmodus“ in Edge die Ausnutzung dieser Schwachstelle verhindern könne – vorausgesetzt, Sie aktivieren ihn. Opera hat noch kein Update bereitgestellt, dürfte jedoch in Kürze nachziehen.
Update 19. Januar
Einen Tag später hat auch Opera seinen Browser abgesichert. In Opera One 106.0.4998.52 steckt Chromium 120.0.6099.234 – wie auch bei Brave und Edge. Somit sind alle vier Browser wieder auf dem gleichen Sicherheitsstand wie Chrome.
Chromium-basierte Browser in der Übersicht:
BrowserVersionChromium-Versionabgesichert?Google Chrome120.0.6099.225120.0.6099.225✅Brave1.61.120120.0.6099.234✅Microsoft Edge120.0.2210.144120.0.6099.234✅Opera One106.0.4998.52120.0.6099.234✅Vivaldi6.5.3206.55120.0.6099.238✅Chromium-basierte Browser – Stand: 18.01.2024
Business, Online Services, Security Software and Services