Mit den neuen Chrome-Versionen 125.0.6422.76/77 für Windows und macOS sowie 125.0.6422.76 für Linux vom 21. Mai behebt Google einige Sicherheitslücken in seinem Browser. Keine dieser Schwachstellen wird bislang für Angriffe ausgenutzt. Hersteller anderer Chromium-basierter Browser müssen nachziehen.
Im Chrome Release Blog führt Prudhvikumar Bommana diejenigen vier der insgesamt sechs Sicherheitslücken auf, die durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Google stuft diese vier Schwachstellen als hohes Risiko ein. Es handelt sich um eine Use-after-free-Lücke im der Komponente Scheduling, um die nahezu obligatorische Typverwechslung in der Javascript-Engine V8 sowie um je einen Pufferüberlauf in den Grafikschnittstellen Angle und Dawn. Die eine oder andere Lücke könnte genutzt werden, um Code einzuschleusen und auszuführen. Bislang sind jedoch noch keine solchen Angriffe bekannt.
▶Die neuesten Sicherheits-Updates
Google hatte am 15. Mai die neue Hautversion Chrome 125 ausgeliefert – gleich mit einem Flicken für eine 0-Day-Lücke. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome (alternativ: » Einstellungen » Über Google Chrome) können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome 125.0.6422.71/72 für Android und Chrome für iOS 125.0.6422.80 veröffentlicht. In der Android-Version sind die gleichen Schwachstellen beseitigt wie in den Desktop-Ausgaben.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, rasch mit Updates nachzuziehen. Brave und Microsoft (Edge) haben noch in der letzten Woche den Wechsel auf Chromium 125 vollzogen. Vivaldi lässt wie immer die ungerade Chromium-Version aus und setzt auf den Extended Stable Channel der Vorversion 124. Alle drei sind auf dem Sicherheitsstand vor dem neuesten Chrome-Update.
Opera hängt hingegen mehrere Updates hinterher. Die Norweger haben es in der letzten Woche gerade einmal geschafft, ihren Browser Opera One auf Chromium 124 umzustellen. Die verwendete Chromium-Version ist allerdings schon mehrere Wochen alt. Darin sind zwei der bislang drei im Mai zutage getretenen 0-Day-Lücken noch nicht beseitigt.
Update 24. Mai – Brave & Vivaldi
Brave hat am 22. Mai ein Update auf v1.66.113 bereitgestellt, mit dem die oben genannten Chromium-Schwachstellen beseitigt werden. Vivaldi hat am Folgetag nachgezogen und ein Update auf Version 6.7.3329.35 veröffentlicht. Diese basiert auf der abgesicherten Chromium-Ausgabe 124.0.6367.236 aus dem Extended Stable Channel.
Opera hat seinen Browser am 22. Mai ebenfalls aktualisiert. Das bringt die Norweger wieder ein großes Stück näher ans Soll, denn damit sind schonmal alle drei bis dahin im Mai bekannt gewordenen 0-Day-Lücken geschlossen. Jetzt fehlen noch Flicken für die oben genannten Sicherheitslücken aus dieser Woche.
Chromium-basierte Browser in der Übersicht:
BrowserVersionChromium-Versionabgesichert?Google Chrome125.0.6422.77125.0.6422.77🟢Brave1.66.113125.0.6422.76🟢Microsoft Edge125.0.2535.51125.0.6422.60🟠Opera One110.0.5130.35124.0.6367.221🟠Vivaldi6.7.3329.35124.0.6367.236🟢Chromium-basierte Browser – Stand: 23.05.2024
Android, Business, Mobile, Online Services, Security Software and Services